Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 5 章 在 IBM Z 和 IBM LinuxONE 裸机服务器上部署机密容器

您可以在 IBM Z® 和 IBM® LinuxONE 裸机服务器上运行的 Red Hat OpenShift Container Platform 集群上部署机密容器工作负载。

在裸机方法中,您可以在使用 Red Hat Enterprise Linux CoreOS (RHCOS)引导的逻辑分区(LPAR)上直接启动机密容器虚拟机(VM)。LPAR 充当集群中的计算节点,为运行机密工作负载提供专用环境。

这种方法消除了对中间对等 pod 组件的需求,从而加快启动速度、加快从故障恢复和更简单的存储集成。因此,它适用于需要高性能、一致存储以及与 Kubernetes 标准一致的资源管理的生产工作负载。

重要

IBM Z® 和 IBM® LinuxONE 裸机服务器上的机密容器只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。

有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围

5.1. 准备
复制链接

在 IBM Z® 和 IBM® LinuxONE 裸机服务器上部署机密容器前,请查看这些先决条件和概念。

5.1.1. 先决条件
复制链接

  • 您已在运行机密容器工作负载的集群中安装了最新版本的 Red Hat OpenShift Container Platform。
  • 您已在可信环境中的 OpenShift Container Platform 集群中部署了红帽构建的 Trustee。如需更多信息,请参阅 部署红帽构建信任者

5.1.2. Initdata
复制链接

initdata 规格提供了一种灵活的方法,来在运行时初始化带有特定于工作负载的数据的 pod,以避免在虚拟机(VM)镜像中嵌入此类数据。

这种方法通过减少机密信息的风险,并通过删除自定义镜像构建来提高灵活性来提高安全性。例如,initdata 可以包含三个配置设置:

  • 用于安全通信的 X.509 证书。
  • 用于身份验证的加密密钥。
  • 可选的 Kata Agent policy.rego 文件,在覆盖默认的 Kata Agent 策略时强制执行运行时行为。

initdata 内容配置以下组件:

  • attestation Agent (AA),它通过发送对测试的证据来验证 pod 的可信度。
  • 机密数据 Hub (CDH),用于管理 pod 虚拟机中的 secret 和保护数据访问。
  • Kata Agent,它强制执行运行时策略并管理 pod 虚拟机内容器的生命周期。

您可以创建一个 initdata.toml 文件,并将其转换为 Base64 编码的 gzip-format 字符串。您可以将 initdata 字符串作为注解添加到 pod 清单,允许自定义各个工作负载。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat