第 6 章配置 Luna HSM 后端以用于 RHOSO 密钥管理器服务

在 OpenShift (RHOSO)上安装 Red Hat OpenStack Services 时，您可以选择使用带有默认 SimpleCrypto 后端的 Key Manager 服务，或使用它与 Luna 硬件安全模块(HSM)一起使用。使用硬件安全模块为存储密钥提供强化保护。

当您使用 Luna HSM 时，Key Manager 服务使用 PKCS modprobe 接口与 Luna HSM 通信，以加载 Thales 提供的库。要将 RHOSO 部署与 Luna HSM 集成，您必须完成以下步骤：

6.1. 在 Key Manager 服务中添加 Luna HSM 客户端
复制链接

为密钥管理器服务构建一个新镜像，以集成所需的 Thales 软件。更新 RHOSO 时，您必须重复此步骤。

创建 ansible playbook 以构建此镜像简化了为 Luna HSM 配置 RHOSO 的过程。ansible-role-rhoso-luna-hsm RPM （属于 RHOSO 存储库的一部分）包含此 playbook 所需的角色。

以下 playbook 会自动从红帽源存储库下载 barbican-api 和 barbican-worker 镜像，添加 Luna 客户端软件，并将生成的镜像存储在目标存储库中。

以下步骤从可以执行 Ansible playbook 的任何系统中运行。

先决条件

Linux 的 Luna 最小客户端镜像。有关获取此软件的详情，请联系 Thales。
可用的镜像服务，如内部可用的 Quay 服务，或一个带有 quay.io 的帐户。如需更多信息，请参阅在 OpenShift Container Platform 上部署 Red Hat Quay Operator。

流程

使用 DNF 安装 ansible-role-rhoso-luna-hsm ：
```
sudo dnf -y install ansible-role-rhoso-luna-hsm
```
```
$ sudo dnf -y install ansible-role-rhoso-luna-hsm
```
Copy to Clipboard Toggle word wrap
将 Linux 的 Luna 最小客户端镜像放在已知位置。在此过程中，镜像放置在 /opt/luna 中。
将 Linux tarball 的 Luna 最小客户端副本移动到 /opt/luna ：
```
mv <LunaClinet-Minimal-10.7.2.x86_64.tar> /opt/luna
```
```
$ mv <LunaClinet-Minimal-10.7.2.x86_64.tar> /opt/luna
```
Copy to Clipboard Toggle word wrap
- 将 <LunaClinet-Minimal-10.7.2.x86_64.tar > 替换为 Luna Minimal client for Linux tarball 的名称。

创建名为 custom-image.yaml 的 playbook，它将创建自定义 Key Manager 镜像：

---
- name: Create and upload the custom Key Manager image
  ansible.builtin.include_role:
    name: rhoso_luna_hsm
    tasks_from: create_image
  vars:
    barbican_src_image_registry: "quay.io:5001"
    barbican_src_image_namespace: "openstack-k8s-operators"
    barbican_src_image_tag: "latest"
    barbican_dest_image_registry: "<my_registry_url>:5001" 
    barbican_dest_image_namespace: "openstack-k8s-operators"
    barbican_dest_image_tag: "luna-custom"
    image_registry_verify_tls: "<true|false>" 
    luna_minclient_src: "file:///opt/luna/<filename>" 
---

---
- name: Create and upload the custom Key Manager image
  ansible.builtin.include_role:
    name: rhoso_luna_hsm
    tasks_from: create_image
  vars:
    barbican_src_image_registry: "quay.io:5001"
    barbican_src_image_namespace: "openstack-k8s-operators"
    barbican_src_image_tag: "latest"
    barbican_dest_image_registry: "<my_registry_url>:5001"


    barbican_dest_image_namespace: "openstack-k8s-operators"
    barbican_dest_image_tag: "luna-custom"
    image_registry_verify_tls: "<true|false>"


    luna_minclient_src: "file:///opt/luna/<filename>"

---

Copy to Clipboard

Toggle word wrap

1: 将 <my_registry_url > 替换为 registry 的 URL。
2: 根据镜像 registry 的要求，将 < true | false > 替换为 true 或 false。
3: 将 <filename > 替换为源镜像的名称，例如： LunaClinet-Minimal-10.7.2.x86_64.tar

运行 playbook：
```
ansible-playbook custom-image.yaml
```
```
$ ansible-playbook custom-image.yaml
```
Copy to Clipboard Toggle word wrap

第 6 章配置 Luna HSM 后端以用于 RHOSO 密钥管理器服务

6.1. 在 Key Manager 服务中添加 Luna HSM 客户端
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 6 章 配置 Luna HSM 后端以用于 RHOSO 密钥管理器服务

6.1. 在 Key Manager 服务中添加 Luna HSM 客户端复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 6 章配置 Luna HSM 后端以用于 RHOSO 密钥管理器服务

6.1. 在 Key Manager 服务中添加 Luna HSM 客户端
复制链接