Atom feed of this document
  

 可信计算池

管理员可以划定一组计算主机作为可信的计算池。可信主机使用了基于硬件的安全特性,比如英特尔可信执行技术(TXT),来提供额外的安全级别。结合外部独立的,基于Web的远程认证服务器,云提供商可以保证计算节点上运行通过验证测量的只有软件,并能保证安全的云堆栈。

可信计算池提供了云用户只能请求通过验证的计算节点上所运行动服务的能力。

远程认证服务所执行的节点验证类似如下:

  1. 激活Intel TXT技术启动计算节点。

  2. 计算节点的BIOS,Hypervisor,以及操作系统均是可测量的。

  3. 当认证服务器质询计算节点,所测量的数据会被发送到认证服务器。

  4. 认证服务器验证测量的内容和一个已知的好的数据库中的内容做比对,然后来决定节点是否值得信任。

关于如何设置一个认证服务器的描述已经超出本书的范围,这里推荐一个开源实现的认证服务,请参考 Open Attestation 项目。

 

配置计算节点以使用可信的计算池

  1. 为可信计算池启用调度的支持,在文件/etc/nova/nova.conf中的DEFAULT一节中添加下面几行内容:

    [DEFAULT]
    compute_scheduler_driver=nova.scheduler.filter_scheduler.FilterScheduler
    scheduler_available_filters=nova.scheduler.filters.all_filters
    scheduler_default_filters=AvailabilityZoneFilter,RamFilter,ComputeFilter,TrustedFilter
  2. 为认证服务制定连接信息,在文件/etc/nova/nova.conf 中的trusted_computing一节添加下面几行内容:

    [trusted_computing]
    attestation_server = 10.1.71.206
    attestation_port = 8443
    # If using OAT v2.0 after, use this port:
    # attestation_port = 8181
    attestation_server_ca_file = /etc/nova/ssl.10.1.71.206.crt
    # If using OAT v1.5, use this api_url:
    attestation_api_url = /AttestationService/resources
    # If using OAT pre-v1.5, use this api_url:
    # attestation_api_url = /OpenAttestationWebServices/V1.0
    attestation_auth_blob = i-am-openstack

    在此例中:

    服务器

    运行证书服务的主机的主机名或IP地址

    端口

    证书服务的HTTPS端口

    server_ca_file

    证书文件用来验证认证服务器的身份

    api_url

    证书服务的 URL 路径

    auth_blob

    认证服务需要认证点。

  3. 保存文件,然后重启nova-computenova-scheduler服务以使设置生效。

要定制可信任的计算池的话,使用如下这些配置属性设置:

表 4.10. Description of trusted computing configuration options
配置属性=默认值 描述
[trusted_computing]
attestation_api_url = /OpenAttestationWebServices/V1.0 (StrOpt) Attestation web API URL
attestation_auth_blob = (StrOpt) Attestation authorization blob - must change
attestation_auth_timeout = 60 (IntOpt) 证书状态缓存有效期长度
attestation_insecure_ssl = False (BoolOpt)为证书服务禁用SSL证书校验
attestation_port = 8443 (StrOpt) Attestation server port
attestation_server = (StrOpt) Attestation server HTTP
attestation_server_ca_file = (StrOpt) Attestation server Cert file for Identity verification

 

指定可信类型

  1. 使用命令nova flavor-key set命令可以让某个类型组成可信的实例。在此例中,类型m1.tiny就被设置为了可信的:

    $ nova flavor-key m1.tiny set trust:trusted_host=trusted
  2. 你可以请求你的实例运行在可信的主机中,通过在启动实例的时候指定可信的类型即可:

    $ nova boot --flavor m1.tiny --key_name myKeypairName --image myImageID newInstanceName
 

图 4.8. 可信任的计算池


Questions? Discuss on ask.openstack.org
Found an error? Report a bug against this page


loading table of contents...