Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

4.2. 使用密钥管理器服务

要采用 Key Manager 服务(barbican),您可以修补禁用 Key Manager 服务的现有 OpenStackControlPlane 自定义资源(CR)。补丁使用 Red Hat OpenStack Platform (RHOSP)环境提供的配置参数启动服务。

如果您看到以下结果,则 Key Manager 服务采用已完成:

  • BarbicanAPI、BBarbicanWorkerBarbicanKeystoneListener 服务已启动并在运行。
  • Keystone 端点已更新,源云的同一加密插件也可用。
注意

此流程将 Key Manager 服务配置为使用 simple_crypto 后端。OpenShift (RHOSO)上的 Red Hat OpenStack Services 目前不支持额外的后端,如 PKCS11 和 DogTag。

流程

  1. 添加 kek secret: 

    $ oc set data secret/osp-secret "BarbicanSimpleCryptoKEK=$($CONTROLLER1_SSH "python3 -c \"import configparser; c = configparser.ConfigParser(); c.read('/var/lib/config-data/puppet-generated/barbican/etc/barbican/barbican.conf'); print(c['simple_crypto_plugin']['kek'])\"")"
    Copy to Clipboard Toggle word wrap

  2. OpenStackControlPlane CR 进行补丁来部署 Key Manager 服务: 

    $ oc patch openstackcontrolplane openstack --type=merge --patch '
spec:
  barbican:
    enabled: true
    apiOverride:
      route: {}
    template:
      databaseInstance: openstack
      databaseAccount: barbican
      rabbitMqClusterName: rabbitmq
      secret: osp-secret
      simpleCryptoBackendSecret: osp-secret
      serviceAccount: barbican
      serviceUser: barbican
      passwordSelectors:
        service: BarbicanPassword
        simplecryptokek: BarbicanSimpleCryptoKEK
      barbicanAPI:
        replicas: 1
        override:
          service:
            internal:
              metadata:
                annotations:
                  metallb.universe.tf/address-pool: internalapi
                  metallb.universe.tf/allow-shared-ip: internalapi
                  metallb.universe.tf/loadBalancerIPs: 172.17.0.80
    1 
    
              spec:
                type: LoadBalancer
      barbicanWorker:
        replicas: 1
      barbicanKeystoneListener:
        replicas: 1
'
    Copy to Clipboard Toggle word wrap
    1
    如果使用 IPv6,请将负载均衡器 IP 更改为环境中的负载均衡器 IP,如 metallb.universe.tf/loadBalancerIPs: fd00:bbbb::80

验证

  • 确保定义了 Identity 服务(keystone)端点,并指向 control plane FQDN: 

    $ openstack endpoint list | grep key-manager
    Copy to Clipboard Toggle word wrap

  • 确定在 Identity 服务中注册 Barbican API 服务: 

    $ openstack service list | grep key-manager
    Copy to Clipboard Toggle word wrap 
    $ openstack endpoint list | grep key-manager
    Copy to Clipboard Toggle word wrap

  • 列出 secret: 

    $ openstack secret list
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat