Red Hat Training

A Red Hat training course is available for RHEL 8

11.16. Clevis 和 Tang 系统角色介绍

RHEL 系统角色是 Ansible 角色和模块的集合,可为远程管理多个 RHEL 系统提供一致的配置界面。

RHEL 8.3 在使用 Clevis 和 Tang 自动部署基于策略的 Decryption(PBD)解决方案时引入了 Ansible 角色。rhel-system-roles 包中包含了这些系统角色、相关的例子以及参考文档。

nbde_client 系统角色使您能够以自动化的方式部署多个Clevis客户端。请注意,nbde_client 角色只支持 Tang 绑定,您目前无法将其用于 TPM2 绑定。

nbde_client 角色需要已经使用 LUKS 加密的卷。此角色支持将 LUKS 加密卷绑定到一个或多个 Network-Bound(NBDE)服务器 - Tang 服务器。您可以使用密码短语保留现有卷加密,或者将其删除。删除密码短语后,您只能使用 NBDE 解锁卷。这在最初使用您置备系统后应删除的临时密钥或密码加密卷时很有用。

如果您同时提供密语和密钥文件,该角色将使用您首先提供的内容。如果找不到任何有效密码,它将尝试从现有的绑定中检索密码短语。

PBD 将绑定定义为设备与插槽的映射。这意味着您可以在同一设备上有多个绑定。默认插槽是插槽 1。

nbde_client 角色也提供了 state 变量。使用 当前 值创建新绑定或更新现有绑定。与 clevis luks bind 命令不同,您可以使用 state: present 来覆盖其设备插槽中的现有绑定。absent 的值会删除指定的绑定。

使用 nbde_server 角色,您可以部署和管理 Tang 服务器作为自动磁盘加密解决方案的一部分。此角色支持以下功能:

  • 轮转 Tang 密钥
  • 部署和备份 Tang 密钥

其它资源

  • 有关 Network-Bound Disk Encryption(NBDE)角色变量的详细参考,请安装 rhel-system-roles 软件包,并参阅 /usr/share/doc/rhel-system-roles/nbde_client/ 和 /usr/share/doc/rhel- system-roles/nbde_server/ 目录的 README.md 和README.html 文件。
  • 例如,system-roles playbook、安装 rhel-system-roles 软件包,并查看 /usr/share/ansible/roles/rhel-system-roles.nbde_server/examples/ 目录。
  • 有关 RHEL 系统角色的更多信息,请参阅 RHEL 系统角色简介