2.2. 永続ボリュームの暗号化のためのストレージクラスの作成

永続ボリューム (PV) 暗号化は、テナント (アプリケーション) の分離および機密性を保証します。PV 暗号化を使用する前に、PV 暗号化のストレージクラスを作成する必要があります。

OpenShift Data Foundation は、HashiCorp Vault での暗号化パスフレーズの保存をサポートします。以下の手順を使用して、永続ボリュームの暗号化用に外部の鍵管理システム (KMS) を使用して暗号化対応のストレージクラスを作成します。永続ボリュームの暗号化は RBD PV の場合にのみ利用できます。KMS へのアクセスを設定するには、以下の 2 つの方法があります。

  • vaulttokens の使用: ユーザーはトークンを使用して認証できるようにします。
  • vaulttenantsa(テクノロジープレビュー): ユーザーは serviceaccount を使用して Vault で認証できるようにします。
重要

vaulttenantsa を使用した KMS へのアクセスはテクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat は実稼働環境でこれらを使用することを推奨していません。これらの機能は、近々発表予定の製品機能をリリースに先駆けてご提供することにより、お客様は機能性をテストし、開発プロセス中にフィードバックをお寄せいただくことができます。

詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

ストレージクラスの作成手順を実行する前に、ユースケースに関連する前提条件のセクションを参照してください。

2.2.1. vaulttokens を使用するための前提条件

  • OpenShift Data Foundation クラスターは Ready 状態である。

  • 外部の鍵管理システム (KMS) で、以下を実行します。

    • トークンのあるポリシーが存在し、Vault のキー値のバックエンドパスが有効にされていることを確認します。詳細は、Enabling key value and policy in Vaultを参照してください。
    • Vault サーバーで署名済みの証明書を使用していることを確認します。

  • 以下のようにテナントの namespace にシークレットを作成します。

    • OpenShift Container Platform Web コンソールで、Workloads → Secrets に移動します。
    • Create → Key/value secret をクリックします。
    • Secret Nameceph-csi-kms-token として入力します。
    • Keytoken として入力します。
    • Value を入力します。これは Vault のトークンです。Browse をクリックしてトークンが含まれるファイルを選択し、アップロードするか、またはテキストボックスにトークンを直接入力します。
    • Create をクリックします。
注記

トークンは、ceph-csi-kms-token を使用するすべての暗号化された PVC が削除された後にのみ削除できます。

次に、「PV 暗号化のストレージクラスを作成する手順」 に記載の手順を実行します。