12.9. 可信计算池
受信任的计算池是基于 Intel 受信任的执行技术(Intel TXT)的安全集群。可信集群仅允许 Intel OpenAttestation 验证的主机,该主机会根据 White List 数据库测量主机硬件和软件的完整性。可以为可信主机和其上运行的虚拟机分配需要更高安全性的任务。有关 Intel TXT、可信系统和测试的更多信息,请参阅 https://software.intel.com/en-us/articles/intel-trusted-execution-technology-intel-txt-enabling-guide。
创建可信计算池涉及以下步骤:
- 配置管理器与 OpenAttestation 服务器通信。
- 创建只能运行可信主机的可信集群。
- 将可信主机添加到可信集群。主机必须运行 OpenAttestation 代理才能被 OpenAttestation sever 信任。
12.9.1. 将 OpenAttestation 服务器连接到 Manager
在创建可信集群前,必须配置 Red Hat Virtualization Manager 以识别 OpenAttestation 服务器。使用 engine-config 添加 OpenAttestation 服务器 FQDN 或 IP 地址:
# engine-config -s AttestationServer=attestationserver.example.com如果需要,也可以更改以下设置:
表 12.6. engine-config 的 OpenAttestation Settings
| 选项 | 默认值 | 描述 |
|---|---|---|
| AttestationServer | oat-server | OpenAttestation 服务器的 FQDN 或 IP 地址。这必须为 Manager 设置,才能与 OpenAttestation 服务器通信。 |
| AttestationPort | 8443 | OpenAttestation 服务器用来与 Manager 通信的端口。 |
| AttestationTruststore | TrustStore.jks | 用于保护与 OpenAttestation 服务器通信的信任存储。 |
| AttestationTruststorePass | password | 用于访问信任存储的密码。 |
| AttestationFirstStageSize | 10 | 用于快速初始化。不建议在不做好原因的情况下更改这个值。 |
| SecureConnectionWithOATServers | true | 启用或禁用与 OpenAttestation 服务器的安全通信。 |
| PollUri | AttestationService/resources/PollHosts | 用于访问 OpenAttestation 服务的 URI。 |
