Red Hat Training

A Red Hat training course is available for RHEL 8

11.14. 使用 NBDE 为云环境构建可自动滚动的虚拟机镜像

在云环境中部署可自动滚动的加密镜像会提供一套独特的挑战。与其他虚拟化环境一样,建议减少从单个镜像启动的实例数量,以避免共享 LUKS 主密钥。

因此,最佳实践是创建自定义映像,这些映像不在任何公共存储库中共享,为部署有限数量实例提供基础。要创建的实例的确切数量应当通过部署的安全策略来定义,并且基于与 LUKS 主密钥攻击向量关联的风险容错能力。

要构建启用 LUKS 的自动化部署,应当使用 Lorax 或 virt-install 和 Kickstart 文件等系统来确保镜像构建过程中具有主密钥独有性。

云环境启用两个我们在此处考虑的 Tang 服务器部署选项。首先,Tang 服务器可以在云环境本身中部署。其次,Tang 服务器可以在独立的基础架构上部署在云外,并在两个基础架构之间使用 VPN 链接进行部署。

在云中原生部署 Tang 有助于轻松部署。但是,由于它与其他系统的数据持久性层共享基础架构,因此 Tang 服务器的私钥和 Clevis 元数据可以存储在同一个物理磁盘上。访问此物理磁盘可以完全损坏密码文本数据。

重要

因此,红帽强烈建议在存储数据的位置和运行 Tang 的系统之间保持物理隔离。这种云和 Tang 服务器之间的这种隔离可确保 Tang 服务器的私钥不会被意外与 Clevis 元数据组合。如果云基础架构面临风险,它还提供 Tang 服务器的本地控制。