第 5 章 在 Azure 上部署机密容器
在部署 OpenShift 沙盒容器后,您可以在 Microsoft Azure Cloud Computing Services 上部署机密容器。
重要
Azure 上的机密容器只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
集群要求
- 您已在安装 Confidential compute attestation Operator 的集群上安装了 Red Hat OpenShift Container Platform 4.15 或更高版本。
您可以执行以下步骤来部署机密容器:
- 安装 Confidential compute attestation Operator。
- 为 Trustee 创建路由。
- 启用机密容器功能门。
- 更新对等 pod 配置映射。
-
删除
KataConfig自定义资源(CR)。 -
重新创建
KataConfigCR。 - 创建 Trustee 身份验证 secret。
- 创建 Trustee 配置映射。
- 配置 Trustee 值、策略和 secret。
-
创建
KbsConfigCR。 - 验证 Trustee 配置。
- 验证 attestation 进程。
5.1. 安装 Confidential compute attestation Operator
您可以使用 CLI 在 Azure 上安装 Confidential compute attestation Operator。
先决条件
-
已安装 OpenShift CLI(
oc)。 -
您可以使用具有
cluster-admin角色的用户访问集群。
流程
创建
trustee-namespace.yaml清单文件:apiVersion: v1 kind: Namespace metadata: name: trustee-operator-system
运行以下命令来创建
trustee-operator-system命名空间:$ oc apply -f trustee-namespace.yaml
创建
trustee-operatorgroup.yaml清单文件:apiVersion: operators.coreos.com/v1 kind: OperatorGroup metadata: name: trustee-operator-group namespace: trustee-operator-system spec: targetNamespaces: - trustee-operator-system
运行以下命令来创建 operator 组:
$ oc apply -f trustee-operatorgroup.yaml
创建
trustee-subscription.yaml清单文件:apiVersion: operators.coreos.com/v1alpha1 kind: Subscription metadata: name: trustee-operator namespace: trustee-operator-system spec: channel: stable installPlanApproval: Automatic name: trustee-operator source: redhat-operators sourceNamespace: openshift-marketplace startingCSV: trustee-operator.v0.1.0
运行以下命令来创建订阅:
$ oc apply -f trustee-subscription.yaml
运行以下命令验证 Operator 是否已正确安装:
$ oc get csv -n trustee-operator-system
此命令可能需要几分钟来完成。
运行以下命令监控进程:
$ watch oc get csv -n trustee-operator-system
输出示例
NAME DISPLAY PHASE trustee-operator.v0.1.0 Trustee Operator 0.1.0 Succeeded
