9.4. 信頼済みコンピュートプール

信頼済みのコンピュートプールは、Intel Trusted Execution Technology (Intel TXT) をベースとするセキュアなクラスターです。信頼済みクラスターは、Intel の OpenAttestation で検証済みのホストのみを許可します。OpenAttestation は、ホストのハードウェアとソフトウェアをホワイトリストデータベースと比較して整合性を評価します。信頼済みのホストと、そのホスト上で実行される仮想マシンには、セキュリティー要件の高いタスクを割り当てることができます。Intel TXT、信頼済みシステム、およびアテステーション (証明) についての詳しい情報は、https://software.intel.com/en-us/articles/intel-trusted-execution-technology-intel-txt-enabling-guide を参照してください。
信頼済みのコンピュートプールを作成するには、以下のステップを実行します。
  • Manager が OpenAttestation サーバーと通信するように設定します。
  • 信頼済みのホストのみを実行することが可能な信頼済みクラスターを作成します。
  • 信頼済みホストを信頼済みクラスターに追加します。OpenAttestatoin サーバーがホストを検証するには、そのホストが OpenAttestation エージェントを実行している必要があります。
OpenAttestation サーバーのインストール、ホスト上での OpenAttestation エージェントのインストール、およびホワイトリストデータベースの作成方法についての説明は、https://github.com/OpenAttestation/OpenAttestation/wiki を参照してください。

9.4.1. OpenAttestation サーバーを Manager に接続する方法

信頼済みクラスターを作成する前に、Red Hat Virtualization Manager が OpenAttestation サーバーを認識するように設定する必要があります。engine-config を使用して、OpenAttestation サーバーの完全修飾ドメイン名または IP アドレスを追加します。 
# engine-config -s AttestationServer=attestationserver.example.com
必要な場合には、以下の設定も変更することができます。

表9.6 engine-config の OpenAttestation 設定

オプション
デフォルト値
説明
AttestationServer
oat-server
OpenAttestation サーバーの完全修飾ドメイン名または IP アドレス。これは、Manager が OpenAttestation サーバーと通信するために設定する必要があります。
AttestationPort
8443
OpenAttestation サーバーが Manager と通信するために使用するポート
AttestationTruststore
TrustStore.jks
OpenAttestation サーバーとの通信をセキュリティー保護するために使用する信頼ストア
AttestationTruststorePass
password
トラストストアへのアクセスに使用するパスワード
AttestationFirstStageSize
10
簡易初期化に使用します。適切な理由がない場合には、この値は変更しないことを推奨します。
SecureConnectionWithOATServers
true
OpenAttestation サーバーとのセキュアな通信を有効化または無効化します。
PollUri
AttestationService/resources/PollHosts
OpenAttestation サービスへのアクセスに使用する URI

9.4.2. 信頼済みクラスターの作成

信頼済みクラスターは、OpenAttestation サーバーと通信して、ホストのセキュリティーを評価します。ホストが信頼済みクラスターに追加されると、OpenAttestation サーバーは、ホストのハードウェアおよびソフトウェアをホワイトリストデータベースと比較します。仮想マシンは、信頼済みクラスター内の信頼済みホストの間で移行できるので、セキュアな環境で高可用性が可能となります。

手順9.9 信頼済みクラスターの作成

  1. クラスター タブを選択します。
  2. 新規作成 をクリックします。
  3. クラスターの 名前 を入力します。
  4. Virt サービスを有効にする のラジオボタンを選択します。
  5. スケジューリングポリシー タブで 信頼済みサービスを有効にする のチェックボックスを選択します。
  6. OK をクリックします。

9.4.3. 信頼済みホストの作成

Red Hat Enterprise Linux ホストを信頼済みクラスターに追加して、OpenAttestationサーバーのホワイトリストデータベースと比較することができます。ホストが OpenAttestation サーバーに信頼されるには、以下の要件を満たす必要があります。
  • BIOS で Intel TXT が有効化されていること。
  • OpenAttestation エージェントがインストール済みで実行中であること。
  • ホスト上で実行中のソフトウェアが OpenAttestation サーバーのホワイトリストデータベースと一致していること。

手順9.10 信頼済みホストの作成

  1. ホスト タブを選択します。
  2. 新規作成 をクリックします。
  3. ホストクラスター のドロップダウンリストから、信頼済みのクラスターを選択します。
  4. ホストの 名前 を入力します。
  5. ホストの アドレス を入力します。
  6. ホストの root パスワード を入力します
  7. OK をクリックします。
ホストが信頼済みクラスターに追加された後には、OpenAttestation サーバーによって評価されます。ホストが OpenAttestation サーバーに信頼されなかった場合には、ステータスが Non Operational となり、信頼済みクラスターから削除する必要があります。