5.3. 在云平台中引导 RHEL 实例的阶段
当 RHEL 实例以统一内核镜像(UKI)模式引导并启用了安全引导时,RHEL 实例会按照以下顺序与云服务基础架构进行交互:
-
完整性验证 :首先,当云托管固件引导时,它会检查并验证 RHEL 实例的完整性。当 RHEL 内核以安全引导模式引导时,它会进入锁定模式,并使用临时密钥和其他密钥扩展内核
.platform
密钥环来为第三方模块签名。 - 变量存储初始化 :下一步,此固件会从变量存储初始化 UEFI 变量,这是一个专用的存储区域,用于引导过程和运行时操作所需的信息。如果 RHEL 实例第一次引导,固件会从虚拟机镜像的默认值初始化变量存储。
bootloader :在固件在 x86 UEFI 环境中加载了 RHEL 实例的
shim
引导装载程序。-
shim
二进制文件扩展了带有 Red Hat Secure Boot CA 的可信证书列表,以及可选的 Machine Owner Key (MOK
),用于裸机平台所需的机器所有者密钥(MOK),以更新与 OEM 供应商兼容的安全引导变量。
-
-
UKI :
shim
二进制文件加载 RHEL 统一内核镜像(UKI),这是kernel-uki-virt
软件包。要使用 UKIcmdline
扩展,RHEL 内核会根据允许签名数据库(db
)和MOK
检查其签名,以确保它们由 Red Hat Enterprise Linux 和最终用户签名。