5.2. Tang 암호화 활성화

사전 요구 사항

  • Tang 교환 키의 지문을 생성하는 데 사용할 수 있는 RHEL (Red Hat Enterprise Linux) 8 시스템에 액세스할 수 있습니다.

절차

  1. Tang 서버를 설정하거나 기존 서버에 액세스합니다. 자세한 내용은 Network-bound disk encryption에서 참조하십시오. 여러 Tang 서버를 설정할 수 있지만 지원 설치 프로그램은 설치 중에 모든 서버에 연결할 수 있어야 합니다.

  2. Tang 서버에서 tang-show-keys 를 사용하여 Tang 서버의 지문을 검색합니다. 

    $ tang-show-keys <port>

    선택 사항: & lt;port& gt;를 포트 번호로 바꿉니다. 기본 포트 번호는 80 입니다.

    지문 예

    1gYTN_LpU9ZMB35yn5IbADY5OQ0

  3. 선택 사항: jose 를 사용하여 Tang 서버의 지문을 검색합니다.

    1. jose 가 Tang 서버에 설치되어 있는지 확인합니다. 

      $ sudo dnf install jose

    2. Tang 서버에서 jose 를 사용하여 지문을 검색합니다. 

      $ sudo jose jwk thp -i /var/db/tang/<public_key>.jwk

      & lt;public_key >를 Tang 서버의 공개 교환 키로 바꿉니다.

      지문 예

      1gYTN_LpU9ZMB35yn5IbADY5OQ0

  4. 선택 사항: 사용자 인터페이스 마법사의 클러스터 세부 정보 단계에서 컨트롤 플레인 노드, 작업자 또는 둘 다에서 Tang 암호화를 사용하도록 선택합니다. Tang 서버의 URL과 지문을 입력해야 합니다.

  5. 선택 사항: API를 사용하여 "호스트 수정" 절차를 따르십시오.

    1. API 토큰을 새로 고칩니다. 

      $ source refresh-token

    2. disk_encryption.enable_on 설정을 모든,masters 또는 workers 로 설정합니다. disk_encryption.mode 설정을 10.0.0.1으로 설정합니다. 하나 이상의 Tang 서버에 대한 URL 및 지문 세부 정보를 제공하도록 disk_encyrption.tang_servers 를 설정합니다. 

      $ curl https://api.openshift.com/api/assisted-install/v2/clusters/${CLUSTER_ID} \
-X PATCH \
-H "Authorization: Bearer ${API_TOKEN}" \
-H "Content-Type: application/json" \
-d '
{
  "disk_encryption": {
    "enable_on": "all",
    "mode": "tang",
    "tang_servers": "[{\"url\":\"http://tang.example.com:7500\",\"thumbprint\":\"PLjNyRdGw03zlRoGjQYMahSZGu9\"},{\"url\":\"http://tang2.example.com:7500\",\"thumbprint\":\"XYjNyRdGw03zlRoGjQYMahSZGu3\"}]"
  }
}
' | jq

      enable_on 의 유효한 설정은 모두,master,worker, none 입니다. CloudEvent _servers 값 내에서 오브젝트 내에서 따옴표를 주석 처리합니다.