Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 8 章 在 IBM Z 和 IBM LinuxONE 上部署机密容器

在部署 OpenShift 沙盒容器后,您可以在 IBM Z® 和 IBM® LinuxONE 上部署机密容器。

重要

IBM Z® 和 IBM® LinuxONE 上的机密容器只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。

有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围

注意

Red Hat OpenShift Container Platform 的 IBM® Hyper Protect Confidential Container (HPCC)现已生产就绪。HPCC 通过提供多第三方 Hyper Protect Contract、在测试时部署以及验证容器运行时和 OCI 镜像的完整性,可以在企业范围内启用机密计算技术。

IBM Z17® 和 IBM® LinuxONE Emperor 5 支持 HPCC,并与 OpenShift 沙盒容器 1.9 及更新的版本兼容。如需更多信息,请参阅 IBM HPCC 文档

集群要求

  • 您已在安装 Confidential compute attestation Operator 的集群上安装了 Red Hat OpenShift Container Platform 4.15 或更高版本。

LPAR 要求

您可以执行以下步骤来部署机密容器:

  1. 安装 Confidential compute attestation Operator。
  2. 为 Trustee 创建路由。
  3. 启用机密容器功能门。
  4. 创建 initdata。
  5. 更新对等 pod 配置映射。
  6. 可选:自定义 Kata 代理策略。
  7. 删除 KataConfig 自定义资源(CR)。
  8. 更新对等 pod secret。
  9. 可选: 选择自定义对等 pod 虚拟机镜像。
  10. 重新创建 KataConfig CR。
  11. 创建 Trustee 身份验证 secret。
  12. 创建 Trustee 配置映射。
  13. 获取 IBM Secure Execution (SE)标头。
  14. 配置 SE 证书和密钥。
  15. 创建持久性存储组件。
  16. 配置 Trustee 值、策略和 secret。
  17. 创建 KbsConfig CR。
  18. 验证 Trustee 配置。
  19. 验证 attestation 进程。

8.1. 安装 Confidential compute attestation Operator
复制链接

您可以使用 CLI 在 IBM Z® 和 IBM® LinuxONE 上安装 Confidential compute attestation Operator。

先决条件

  • 已安装 OpenShift CLI(oc)。
  • 您可以使用具有 cluster-admin 角色的用户访问集群。

流程

  1. 创建 trustee-namespace.yaml 清单文件: 

    apiVersion: v1
kind: Namespace
metadata:
  name: trustee-operator-system
    Copy to Clipboard Toggle word wrap

  2. 运行以下命令来创建 trustee-operator-system 命名空间: 

    $ oc apply -f trustee-namespace.yaml
    Copy to Clipboard Toggle word wrap

  3. 创建 trustee-operatorgroup.yaml 清单文件: 

    apiVersion: operators.coreos.com/v1
kind: OperatorGroup
metadata:
  name: trustee-operator-group
  namespace: trustee-operator-system
spec:
  targetNamespaces:
  - trustee-operator-system
    Copy to Clipboard Toggle word wrap

  4. 运行以下命令来创建 operator 组: 

    $ oc apply -f trustee-operatorgroup.yaml
    Copy to Clipboard Toggle word wrap

  5. 创建 trustee-subscription.yaml 清单文件: 

    apiVersion: operators.coreos.com/v1alpha1
kind: Subscription
metadata:
  name: trustee-operator-system
  namespace: trustee-operator-system
spec:
  channel: stable
  installPlanApproval: Automatic
  name: trustee-operator
  source: trustee-operator-catalog
  sourceNamespace: openshift-marketplace
    Copy to Clipboard Toggle word wrap

  6. 运行以下命令来创建订阅: 

    $ oc apply -f trustee-subscription.yaml
    Copy to Clipboard Toggle word wrap

  7. 运行以下命令验证 Operator 是否已正确安装: 

    $ oc get csv -n trustee-operator-system
    Copy to Clipboard Toggle word wrap

    此命令可能需要几分钟来完成。

  8. 运行以下命令监控进程: 

    $ watch oc get csv -n trustee-operator-system
    Copy to Clipboard Toggle word wrap

    输出示例

    NAME                      DISPLAY                        PHASE
trustee-operator.v0.3.0   Trustee Operator  0.3.0        Succeeded
    Copy to Clipboard Toggle word wrap

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat