Red Hat Training
A Red Hat training course is available for Red Hat Virtualization
9.9. 信頼済みコンピュートプール
信頼済みのコンピュートプールは、Intel Trusted Execution Technology (Intel TXT) をベースとするセキュアなクラスターです。信頼済みクラスターは、Intel の OpenAttestation で検証済みのホストのみを許可します。OpenAttestation は、ホストのハードウェアとソフトウェアをホワイトリストデータベースと比較して整合性を評価します。信頼済みのホストと、そのホスト上で実行される仮想マシンには、セキュリティー要件の高いタスクを割り当てることができます。Intel TXT、信頼済みシステム、およびアテステーション (証明) についての詳しい情報は、『Intel® Trusted Execution Technology (Intel® TXT) Enabling Guide』を参照してください。
信頼済みのコンピュートプールを作成するには、以下のステップを実行します。
- Manager が OpenAttestation サーバーと通信するように設定します。
- 信頼済みのホストのみを実行することが可能な信頼済みクラスターを作成します。
- 信頼済みホストを信頼済みクラスターに追加します。OpenAttestatoin サーバーがホストを検証するには、そのホストが OpenAttestation エージェントを実行している必要があります。
OpenAttestation サーバーのインストール、ホスト上での OpenAttestation エージェントのインストール、およびホワイトリストデータベースの作成方法についての説明は、https://github.com/OpenAttestation/OpenAttestation/wiki を参照してください。
9.9.1. OpenAttestation サーバーを Manager に接続する方法
信頼済みクラスターを作成する前に、Red Hat Virtualization Manager が OpenAttestation サーバーを認識するように設定する必要があります。engine-config を使用して、OpenAttestation サーバーの完全修飾ドメイン名または IP アドレスを追加します。
# engine-config -s AttestationServer=attestationserver.example.com必要な場合には、以下の設定も変更することができます。
表9.6 engine-config の OpenAttestation 設定
| オプション | デフォルト値 | 説明 |
|---|---|---|
|
AttestationServer |
oat-server |
OpenAttestation サーバーの完全修飾ドメイン名または IP アドレス。これは、Manager が OpenAttestation サーバーと通信するために設定する必要があります。 |
|
AttestationPort |
8443 |
OpenAttestation サーバーが Manager と通信するために使用するポート |
|
AttestationTruststore |
TrustStore.jks |
OpenAttestation サーバーとの通信をセキュリティー保護するために使用するトラストストア |
|
AttestationTruststorePass |
password |
トラストストアへのアクセスに使用するパスワード |
|
AttestationFirstStageSize |
10 |
簡易初期化に使用します。適切な理由がない場合には、この値は変更しないことを推奨します。 |
|
SecureConnectionWithOATServers |
true |
OpenAttestation サーバーとのセキュアな通信を有効化または無効化します。 |
|
PollUri |
AttestationService/resources/PollHosts |
OpenAttestation サービスへのアクセスに使用する URI |
9.9.2. 信頼済みクラスターの作成
信頼済みクラスターは、OpenAttestation サーバーと通信して、ホストのセキュリティーを評価します。ホストが信頼済みクラスターに追加されると、OpenAttestation サーバーは、ホストのハードウェアおよびソフトウェアをホワイトリストデータベースと比較します。仮想マシンは、信頼済みクラスター内の信頼済みホストの間で移行できるので、セキュアな環境で高可用性を得ることができます。
信頼済みクラスターの作成
- コンピュート → クラスター をクリックします。
- 新規作成 をクリックします。
- クラスターの 名前 を入力します。
- Virt サービスを有効にする のチェックボックスを選択します。
- スケジューリングポリシー タブをクリックし、信頼済みサービスを有効にする のチェックボックスを選択します。
- OK をクリックします。
9.9.3. 信頼済みホストの作成
Red Hat Enterprise Linux ホストを信頼済みクラスターに追加して、OpenAttestationサーバーのホワイトリストデータベースと比較することができます。ホストが OpenAttestation サーバーに信頼されるには、以下の要件を満たす必要があります。
- BIOS で Intel TXT が有効化されていること。
- OpenAttestation エージェントがインストール済みで実行中であること。
- ホスト上で実行中のソフトウェアが OpenAttestation サーバーのホワイトリストデータベースと一致していること。
信頼済みホストの作成
- コンピュート → ホスト をクリックします。
- 新規作成 をクリックします。
- ホストクラスター のドロップダウンリストから、信頼済みのクラスターを選択します。
- ホストの 名前 を入力します。
- ホストの ホスト名 を入力します。
- ホストの root パスワード を入力します。
- OK をクリックします。
ホストが信頼済みクラスターに追加された後には、OpenAttestation サーバーによって評価されます。ホストが OpenAttestation サーバーに信頼されなかった場合には、ステータスが Non Operational となり、信頼済みクラスターから削除する必要があります。
