红帽全球峰会第 1 章 选择安装平台
作为系统管理员,您可以选择两个不同的安装平台来运行 Red Hat Trusted Artifact Signer (RHTAS)。您可以使用 Ansible 将 RHTAS 部署到 Red Hat OpenShift Container Platform 或 Red Hat Enterprise Linux。
将 RHTAS 部署到 Red Hat Enterprise Linux 当前是一项技术预览功能。
选择安装平台:
1.1. 使用 Operator Lifecycle Manager 安装 Trusted Artifact Signer
您可以安装 Red Hat Trusted Artifact Signer (RHTAS) operator,并使用 OpenShift 的 Operator Lifecycle Manager (OLM)部署 RHTAS 服务。此部署为您提供选择 OpenID Connect (OIDC)供应商的基本签名框架。您必须至少配置以下 OIDC 供应商之一: Red Hat Single Sign-on (SSO)、Google、Amazon Secure Token Service (STS)或 GitHub。如果您不想使用默认值,您还可以选择自定义数据库解决方案。
先决条件
- Red Hat OpenShift Container Platform 版本 4.13 或更高版本。
-
使用
cluster-admin角色访问 OpenShift Web 控制台。 -
安装了
oc二进制文件的工作站。
流程
-
使用具有
cluster-admin角色的用户登录 OpenShift Web 控制台。 - 从 Administrator 视角中,展开 Operators 导航菜单,然后点 OperatorHub。
- 在搜索字段中,键入 trusted,然后单击 Red Hat Trusted Artifact Signer 标题。
- 单击 Install 按钮,以显示 Operator 详情。
接受默认值,点 Install Operator 页面中的 Install,并等待安装完成。
重要安装完成后,会自动为您创建一个新项目。新项目名称是
trusted-artifact-signer。注意Trusted Artifact Signer operator 安装到
openshift-operators命名空间中,所有依赖项都会被自动安装。- 可选。您可以为 Trusted Artifact Signer 服务使用替代数据库,而不是默认的数据库供应商。如果要使用 Amazon 的关系数据库服务(RDS) 或 OpenShift 上的自我管理的数据库,请在继续安装前按照其中一个流程进行操作。配置其中一个其他数据库提供程序后,您可以继续这个过程的下一步。
以部署 Trusted Artifact Signer 服务。
- 从导航菜单中展开 Operators,点 Installed Operators。
-
从项目下拉列表中,选择
trusted-artifact-signer。 - 点 Red Hat Trusted Artifact Signer。
- 单击 Securesign 选项卡,然后单击 Create Securesign 按钮。
- 在 Create Securesign 页面上,选择 YAML 视图。
您可以在部署期间将 Google OAuth、Amazon STS、红帽的 SSO 或 GitHub OAuth 配置为初始 OIDC 供应商。在
spec.fulcio.config.OIDCIssuers部分下,使用 OIDC 供应商 URL 编辑以下三行,并相应地设置ClientID。Example
... OIDCIssuers: - Issuer: 'OIDC_ISSUER_URL': ClientID: CLIENT_ID IssuerURL: 'OIDC_ISSUER_URL' Type: email ...
重要您可以在同一配置中定义多个不同的 OIDC 供应商。
注意如果红帽的 SSO 已作为 OIDC 供应商实施,请运行以下命令查找签发者 URL:
$ echo https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer将
ClientID设置为trusted-artifact-signer。可选。如果使用除默认数据库以外的其他数据库,则在
spec.trillian部分下,将create设置为false,并指定数据库 secret 对象的名称。Example
... trillian: database: create: false databaseSecretRef: name: trillian-mysql ...- 点 Create 按钮。
点 All instances 选项卡观察部署状态,直到 CTlog、Fulcio、Rekor、Trillian 和 TUF 实例就绪。
注意Securesign 实例不提供状态。
- 您可以在 OpenShift 控制台中使用 Prometheus 检查新的 Trusted Artifact Signer 服务的健康状态。在导航菜单中,展开 Observe,然后点 Dashboards。
- 通过签署容器镜像 或 Git 提交 来验证安装。https://docs.redhat.com/en/documentation/red_hat_trusted_artifact_signer/1/html/deployment_guide/verify_the_trusted_artifact_signer_service_installation#signing-and-verifying-containers-by-using-cosign-from-the-command-line-interface_deploy
其他资源
- 有关 RHTAS 组件和版本号的更多信息,请参阅 RHTAS 部署指南 中的附录。
