10.16. nbde_client 和 nbde_server RHEL 系统角色简介(Clevis 和 Tang)
RHEL 系统角色是 Ansible 角色和模块的集合,其提供一致的配置接口来远程管理多个 RHEL 系统。
RHEL 8.3 引入了 Ansible 角色,用于使用 Clevis 和 Tang 自动部署基于策略的解密(PBD)解决方案。rhel-system-roles
软件包包含这些系统角色、相关示例以及参考文档。
nbde_client
系统角色使您能够以自动化的方式部署多个Clevis客户端。请注意,nbde_client
角色只支持 Tang 绑定,您目前无法将其用于 TPM2 绑定。
nbde_client
角色需要已经使用 LUKS 加密的卷。此角色支持将 LUKS 加密卷绑定到一个或多个网络绑定(NBDE)服务器 - Tang 服务器。您可以使用密码短语保留现有的卷加密,或者将其删除。删除密码短语后,您只能使用 NBDE 解锁卷。当卷最初是使用在置备系统后会删除的临时密钥或密码进行加密时,这非常有用,
如果您同时提供密语和密钥文件,角色将使用您首先提供的那一个。如果找不到任何有效密语或密码,它将尝试从现有的绑定中检索密码短语。
PBD 将绑定定义为设备到插槽的映射。这意味着对同一个设备你可以有多个绑定。默认插槽是插槽 1。
nbde_client
角色也提供了 state
变量。使用 present
值来创建新绑定或更新现有绑定。与 clevis luks bind
命令不同,您可以使用 state: present
来覆盖其设备插槽中的现有绑定。absent
的值会删除指定的绑定。
使用 nbde_client
系统角色,您可以部署和管理 Tang 服务器作为自动磁盘加密解决方案的一部分。此角色支持以下功能:
- 轮转 Tang 密钥
- 部署和备份 Tang 密钥
其它资源
-
/usr/share/ansible/roles/rhel-system-roles.nbde_server/README.md
file -
/usr/share/ansible/roles/rhel-system-roles.nbde_client/README.md
file -
/usr/share/doc/rhel-system-roles/nbde_server/
directory -
/usr/share/doc/rhel-system-roles/nbde_client/
directory