5.10. 创建 KbsConfig 自定义资源
您可以创建 KbsConfig 自定义资源(CR)来启动 Trustee。
然后,您可以检查 Trustee pod 和 pod 日志以验证配置。
流程
创建
kbsconfig-cr.yaml清单文件:apiVersion: confidentialcontainers.org/v1alpha1 kind: KbsConfig metadata: labels: app.kubernetes.io/name: kbsconfig app.kubernetes.io/instance: kbsconfig app.kubernetes.io/part-of: trustee-operator app.kubernetes.io/managed-by: kustomize app.kubernetes.io/created-by: trustee-operator name: kbsconfig namespace: trustee-operator-system spec: kbsConfigMapName: kbs-config-cm kbsAuthSecretName: kbs-auth-public-key kbsDeploymentType: AllInOneDeployment kbsRvpsRefValuesConfigMapName: rvps-reference-values kbsSecretResources: ["kbsres1", "security-policy", "<type>"] 1 kbsResourcePolicyConfigMapName: resource-policy # tdxConfigSpec: # kbsTdxConfigMapName: tdx-config 2 # kbsAttestationPolicyConfigMapName: attestation-policy 3 # kbsServiceType: <service_type> 4- 1
- 可选:如果您创建了 secret,指定容器镜像签名验证 secret 的
type值,如img-sig。如果您没有创建 secret,将kbsSecretResources值设置为["kbsres1", "security-policy"]。 - 2
- 取消注释
tdxConfigSpec.kbsTdxConfigMapName: tdx-configfor Intel Trust Domain Extensions。 - 3
- 如果您创建了一个自定义的 attestation 策略,取消注释
kbsAttestationPolicyConfigMapName: attestation-policy。 - 4
- 取消注释
kbsServiceType: <service_type>,如果您创建服务类型,而不是默认ClusterIP服务,以在集群外部流量中公开应用程序。您可以指定NodePort、LoadBalancer或ExternalName。
运行以下命令来创建
KbsConfigCR:$ oc apply -f kbsconfig-cr.yaml
