16.2. Tang 服务器安装注意事项
16.2.1. 安装场景
在规划 Tang 服务器安装时请考虑以下建议:
小环境可以使用单一的关键材料组,即使使用多个 Tang 服务器:
- 密钥轮转更为简单。
- Tang 服务器可以轻松扩展,以实现高可用性。
大型环境可从多组关键材料中受益:
- 在不同的物理环境中安装不需要在地理区域之间复制和同步关键材料。
- 在大型环境中,密钥轮转更为复杂。
- 节点安装和重新密钥要求所有 Tang 服务器的网络连接。
- 网络流量可能会因为在解密过程中查询所有 Tang 服务器的节点引导而发生小幅增长。请注意,尽管只有一个 Clevis 客户端查询必须成功,但 Clevis 查询所有 Tang 服务器。
进一步的复杂性:
-
额外的手动重新配置可以允许
any N of M servers online的 Shamir 的 secret 共享 (sss) 来解密磁盘分区。在这种情况下,解密磁盘需要多组关键资料,并在初始安装后通过 Clevis 客户端手动管理 Tang 服务器和节点。
-
额外的手动重新配置可以允许
高级别建议:
- 对于单个 RAN 部署,一组有限的 Tang 服务器可以在对应的域控制器 (DC) 中运行。
- 对于多个 RAN 部署,您必须确定是否在每个对应的 DC 中运行 Tang 服务器,或者一个全局 Tang 环境是否更能满足系统的其他需求和要求。
16.2.2. 安装 Tang 服务器
流程
您可以使用以下命令之一在 Red Hat Enterprise Linux (RHEL) 机器上安装 Tang 服务器:
使用
yum命令安装 Tang 服务器:$ sudo yum install tang
使用
dnf命令安装 Tang 服务器:$ sudo dnf install tang
安装也可容器化,而且非常轻量级。
16.2.2.1. 计算要求
Tang 服务器的计算要求非常低。任何您要用于将服务器部署到生产中的典型服务器评级配置都可以调配足够的计算容量。
高可用性注意事项仅取决于可用性,而非额外的计算能力,以满足客户的需求。
16.2.2.2. 在引导时自动启动
由于 Tang 服务器使用的密钥材料的敏感性质,您应该记住,Tang 服务器引导序列期间手动干预的开销可能很有用。
默认情况下,如果 Tang 服务器启动且没有预期的本地卷中的关键资料,它将创建新的资料并为其提供服务。您可以通过从预先存在的密钥材料开始或中止启动并等待手动干预来避免这种默认行为。
16.2.2.3. HTTP 与 HTTPS
到 Tang 服务器的流量可以加密 (HTTPS) 或纯文本 (HTTP)。加密此流量没有显著的安全优势,在进行解密后,它删除了运行 Clevis 客户端的节点中与传输层安全 (TLS) 证书检查相关的复杂性或故障条件。
虽然可以对节点的 Clevis 客户端和 Tang 服务器之间的未加密流量执行被动监控,但使用此流量确定关键资料的能力最好是未来的理论问题。任何此类流量分析都需要大量捕获的数据。密钥轮转会立即将其无效。最后,任何能够执行被动监控的威胁操作者已获得必要的网络访问权限,以执行到 Tang 服务器的手动连接,并可对捕获的 Clevis 标头进行简单的手动解密。
但是,因为安装站点中存在的其他网络策略可能需要流量加密,而无论应用程序是什么,请考虑将此决定保留给集群管理员。
16.2.3. Network-Bound Disk Encryption 的安装注意事项
安装群集节点时,必须启用 Network-Bound Disk Encryption (NBDE)。但是,您可以在安装时初始化后随时更改磁盘加密策略。
