搜索

10.4. 可信计算池

download PDF
可信计算池是基于 Intel Trusted Execution Technology (Intel TXT)的安全集群。可信集群只允许由 Intel 的 OpenAttestation 验证的主机,它会针对白名单数据库测量主机的硬件和软件的完整性。可以分配可信主机和其上运行的虚拟机,任务需要更高的安全性。有关 Intel TXT、可信系统和 attestation 的更多信息,请参阅 https://software.intel.com/en-us/articles/intel-trusted-execution-technology-intel-txt-enabling-guide
创建可信计算池涉及以下步骤:
  • 配置管理器以与 OpenAttestation 服务器通信。
  • 创建只能运行可信主机的可信集群。
  • 将可信主机添加到可信集群。主机必须正在运行 OpenAttestation 代理,才能验证 OpenAttestation sever。
有关安装 OpenAttestation 服务器的详情,请在主机上安装 OpenAttestation 代理,并创建白名单数据库,请参阅 https://github.com/OpenAttestation/OpenAttestation/wiki

10.4.1. 将 OpenAttestation Server 连接到 Manager

在创建可信集群前,必须配置 Red Hat Virtualization Manager 来识别 OpenAttestation 服务器。使用 engine-config 添加 OpenAttestation 服务器的 FQDN 或 IP 地址:
# engine-config -s AttestationServer=attestationserver.example.com
如果需要,也可以更改以下设置:
表 10.6. engine-config 的 OpenAttestation 设置
选项
默认值
Description
AttestationServer
oat-server
OpenAttestation 服务器的 FQDN 或 IP 地址。必须为管理器设置此项才能与 OpenAttestation 服务器通信。
AttestationPort
8443
OpenAttestation 服务器用来与管理器通信的端口。
AttestationTruststore
TrustStore.jks
用于保护与 OpenAttestation 服务器通信的信任存储。
AttestationTruststorePass
密码
用于访问信任存储的密码。
AttestationFirstStageSize
10
用于快速初始化。不建议在不造成适当原因的情况下更改这个值。
SecureConnectionWithOATServers
true
启用或禁用与 OpenAttestation 服务器的安全通信。
PollUri
AttestationService/resources/PollHosts
用于访问 OpenAttestation 服务的 URI。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.