10.4. 可信计算池
可信计算池是基于 Intel Trusted Execution Technology (Intel TXT)的安全集群。可信集群只允许由 Intel 的 OpenAttestation 验证的主机,它会针对白名单数据库测量主机的硬件和软件的完整性。可以分配可信主机和其上运行的虚拟机,任务需要更高的安全性。有关 Intel TXT、可信系统和 attestation 的更多信息,请参阅 https://software.intel.com/en-us/articles/intel-trusted-execution-technology-intel-txt-enabling-guide。
创建可信计算池涉及以下步骤:
有关安装 OpenAttestation 服务器的详情,请在主机上安装 OpenAttestation 代理,并创建白名单数据库,请参阅 https://github.com/OpenAttestation/OpenAttestation/wiki。
- 配置管理器以与 OpenAttestation 服务器通信。
- 创建只能运行可信主机的可信集群。
- 将可信主机添加到可信集群。主机必须正在运行 OpenAttestation 代理,才能验证 OpenAttestation sever。
10.4.1. 将 OpenAttestation Server 连接到 Manager
在创建可信集群前,必须配置 Red Hat Virtualization Manager 来识别 OpenAttestation 服务器。使用 engine-config 添加 OpenAttestation 服务器的 FQDN 或 IP 地址:
# engine-config -s AttestationServer=attestationserver.example.com
如果需要,也可以更改以下设置:
|
选项
|
默认值
|
Description
|
|---|---|---|
|
AttestationServer
|
oat-server
|
OpenAttestation 服务器的 FQDN 或 IP 地址。必须为管理器设置此项才能与 OpenAttestation 服务器通信。
|
|
AttestationPort
|
8443
|
OpenAttestation 服务器用来与管理器通信的端口。
|
|
AttestationTruststore
|
TrustStore.jks
|
用于保护与 OpenAttestation 服务器通信的信任存储。
|
|
AttestationTruststorePass
|
密码
|
用于访问信任存储的密码。
|
|
AttestationFirstStageSize
|
10
|
用于快速初始化。不建议在不造成适当原因的情况下更改这个值。
|
|
SecureConnectionWithOATServers
|
true
|
启用或禁用与 OpenAttestation 服务器的安全通信。
|
|
PollUri
|
AttestationService/resources/PollHosts
|
用于访问 OpenAttestation 服务的 URI。
|
