Red Hat Training

A Red Hat training course is available for Red Hat Virtualization

10.4. 可信计算池

可信计算池是基于 Intel Trusted Execution Technology (Intel TXT)的安全集群。可信集群只允许由 Intel 的 OpenAttestation 验证的主机,它会针对白名单数据库测量主机的硬件和软件的完整性。可以分配可信主机和其上运行的虚拟机,任务需要更高的安全性。有关 Intel TXT、可信系统和 attestation 的更多信息,请参阅 https://software.intel.com/en-us/articles/intel-trusted-execution-technology-intel-txt-enabling-guide
创建可信计算池涉及以下步骤:
  • 配置管理器以与 OpenAttestation 服务器通信。
  • 创建只能运行可信主机的可信集群。
  • 将可信主机添加到可信集群。主机必须正在运行 OpenAttestation 代理,才能验证 OpenAttestation sever。
有关安装 OpenAttestation 服务器的详情,请在主机上安装 OpenAttestation 代理,并创建白名单数据库,请参阅 https://github.com/OpenAttestation/OpenAttestation/wiki

10.4.1. 将 OpenAttestation Server 连接到 Manager

在创建可信集群前,必须配置 Red Hat Virtualization Manager 来识别 OpenAttestation 服务器。使用 engine-config 添加 OpenAttestation 服务器的 FQDN 或 IP 地址:
# engine-config -s AttestationServer=attestationserver.example.com
如果需要,也可以更改以下设置:

表 10.6. engine-config 的 OpenAttestation 设置

选项
默认值
Description
AttestationServer
oat-server
OpenAttestation 服务器的 FQDN 或 IP 地址。必须为管理器设置此项才能与 OpenAttestation 服务器通信。
AttestationPort
8443
OpenAttestation 服务器用来与管理器通信的端口。
AttestationTruststore
TrustStore.jks
用于保护与 OpenAttestation 服务器通信的信任存储。
AttestationTruststorePass
密码
用于访问信任存储的密码。
AttestationFirstStageSize
10
用于快速初始化。不建议在不造成适当原因的情况下更改这个值。
SecureConnectionWithOATServers
true
启用或禁用与 OpenAttestation 服务器的安全通信。
PollUri
AttestationService/resources/PollHosts
用于访问 OpenAttestation 服务的 URI。