第 5 章 启用磁盘加密
您可以使用 TPM v2 或 Tang 加密模式启用安装磁盘加密。
注意
在某些情况下,当您在固件中为裸机主机启用 TPM 磁盘加密时,然后从您使用辅助安装程序生成的 ISO 引导它,集群部署可能会卡住。如果以前的安装在主机中保留了 TPM 加密密钥,则可能会出现这种情况。如需更多信息,请参阅 BZ#2011634。如果您遇到这个问题,请联系红帽支持。
5.1. 启用 TPM v2 加密
先决条件
-
检查每个主机上的 BIOS 是否启用了 TPM v2 加密。大多数 Dell 系统都需要这个设置。检查您的计算机手册。Assisted Installer 还验证固件中是否启用了 TPM。详情请查看 Assisted Installer API 中的
disk-encruption
模式。
重要
验证每个节点上是否安装了 TPM v2 加密芯片,并在固件中启用。
流程
- 可选: 使用 web 控制台,在用户界面向导的 集群详情 步骤中,选择在 control plane 节点、worker 或这两个节点上启用 TPM v2 加密。
可选:使用 API,请遵循"修改主机"过程。将
disk_encryption.enable_on
设置设置为all
,masters
, 或workers
。将disk_encryption.mode
设置设置为tpmv2
。刷新 API 令牌:
$ source refresh-token
启用 TPM v2 加密:
$ curl https://api.openshift.com/api/assisted-install/v2/clusters/${CLUSTER_ID} \ -X PATCH \ -H "Authorization: Bearer ${API_TOKEN}" \ -H "Content-Type: application/json" \ -d ' { "disk_encryption": { "enable_on": "none", "mode": "tpmv2" } } ' | jq
enable_on
的有效设置是all
,master
,worker
, 或none
。