5.10. 创建 KbsConfig 自定义资源

流程

1. 创建 kbsconfig-cr.yaml 清单文件：

   apiVersion: confidentialcontainers.org/v1alpha1
   kind: KbsConfig
   metadata:
     labels:
       app.kubernetes.io/name: kbsconfig
       app.kubernetes.io/instance: kbsconfig
       app.kubernetes.io/part-of: trustee-operator
       app.kubernetes.io/managed-by: kustomize
       app.kubernetes.io/created-by: trustee-operator
     name: kbsconfig
     namespace: trustee-operator-system
   spec:
     kbsConfigMapName: kbs-config-cm
     kbsAuthSecretName: kbs-auth-public-key
     kbsDeploymentType: AllInOneDeployment
     kbsRvpsRefValuesConfigMapName: rvps-reference-values
     kbsSecretResources: ["kbsres1", "security-policy", "<type>"] 

   1

   
     kbsResourcePolicyConfigMapName: resource-policy
   # tdxConfigSpec:
   #   kbsTdxConfigMapName: tdx-config 

   2

   
   # kbsAttestationPolicyConfigMapName: attestation-policy 

   3

   
   # kbsServiceType: <service_type> 

   4

   Copy to Clipboard Toggle word wrap

   1

   可选：如果您创建了 secret，指定容器镜像签名验证 secret 的 type 值，如 img-sig。如果您没有创建 secret，将 kbsSecretResources 值设置为 ["kbsres1", "security-policy "]。

   2

   取消注释 tdxConfigSpec.kbsTdxConfigMapName: tdx-config for Intel Trust Domain Extensions。

   3

   如果您创建了一个自定义的 attestation 策略，取消注释 kbsAttestationPolicyConfigMapName: attestation-policy。

   4

   取消注释 kbsServiceType: <service_type >，如果您创建服务类型，而不是默认 ClusterIP 服务，以在集群外部流量中公开应用程序。您可以指定 NodePort、LoadBalancer 或 ExternalName。

2. 运行以下命令来创建 KbsConfig CR：

   $ oc apply -f kbsconfig-cr.yaml

   Copy to Clipboard Toggle word wrap