或更高版本部署的新集群才支持加密。没有使用外部 密钥管理系统 (KMS) 的现有加密集群无法迁移为使用外部 KMS。 以前，HashiCorp Vault 是唯一支持集群范围的 KMS 和持久性卷加密的 KMS。在 OpenShift Data Foundation 4.7.0 和 4.7.1 中，只支持 HashiCorp Vault Key/Value (KV) secret engine API，支持版本 1。 从 OpenShift OpenShift Data Foundation 4.7.2 开始，支持 HashiCorp Vault KV secret engine API、版本 1 和 2。从 OpenShift Data Foundation 4.12 开始，Thales CipherTrust Manager 已被作为额外支持的 KMS 被引进。 重要 重要 Red Hat OpenShift Data Foundation 订阅。如需更多信息，请参阅 OpenShift Data Foundation 订阅中的知 识库文章。 红帽与技术合作伙伴合作，将本文档作为为客户提供服务。但是，红帽不为 Hashicorp 产品提供支持。有 关此产品的技术协助，请联系 Hashicorp。 5.3.1. 集群范围的加密 Red Hat OpenShift Data Foundation 支持存储集群中所有磁盘和多云对象网关操作的集群范围加密

应用程序 用程序 86 1. 创建一个新项目： 2. 将一个 Helm chart 存储库添加到本地 Helm 客户端： 输 输出示例 出示例 3. 更新存储库： 4. 安装 HashiCorp Vault 示例： 输 输出示例 出示例 5. 验证 chart 是否已成功安装： 输 输出示例 出示例 6.3.2. 使用 Developer 视角安装 Helm chart 您可以使用 new-project vault $ helm repo add openshift-helm-charts https://charts.openshift.io/ "openshift-helm-charts" has been added to your repositories $ helm repo update $ helm install example-vault openshi openshift-helm-charts/hashicorp-vault NAME: example-vault LAST DEPLOYED: Fri Mar 11 12:02:12 2022 NAMESPACE: vault STATUS: deployed REVISION: 1 NOTES: Thank you for installing HashiCorp Vault! $ helm list

Helm。 流程 流程 1. 创建一个新项目： 2. 将一个 Helm chart 存储库添加到本地 Helm 客户端： 输 输出示例 出示例 3. 更新存储库： 4. 安装 HashiCorp Vault 示例： 输 输出示例 出示例 5. 验证 chart 是否已成功安装： 输 输出示例 出示例 7.3.2. 使用 Developer 视角安装 Helm chart 您可以使用 new-project vault $ helm repo add openshift-helm-charts https://charts.openshift.io/ "openshift-helm-charts" has been added to your repositories $ helm repo update $ helm install example-vault openshi openshift-helm-charts/hashicorp-vault NAME: example-vault LAST DEPLOYED: Fri Mar 11 12:02:12 2022 NAMESPACE: vault STATUS: deployed REVISION: 1 NOTES: Thank you for installing HashiCorp Vault! $ helm list

使用客户管理的密钥需要 Azure Key Vault、磁盘加密集和加密密钥。磁盘加密集必须在 Cloud Credential Operator（CCO）授予权限的资源组中。如果没有，则需要在磁盘加密集中授予额外的 reader 角色。 先决条件 先决条件 创建 Azure Key Vault 实例。 创建磁盘加密集的实例。 授予磁盘加密集对密钥 vault 的访问权限。 type: 使用客户管理的密钥需要 Azure Key Vault、磁盘加密集和加密密钥。磁盘加密集必须在 Cloud Credential Operator（CCO）授予权限的资源组中。如果没有，则需要在磁盘加密集中授予额外的 reader 角色。 先决条件 先决条件 创建 Azure Key Vault 实例。 创建磁盘加密集的实例。 授予磁盘加密集对密钥 vault 的访问权限。 流程 流程 在机器集 使用客户管理的密钥需要 Azure Key Vault、磁盘加密集和加密密钥。磁盘加密集必须在 Cloud Credential Operator（CCO）授予权限的资源组中。如果没有，则需要在磁盘加密集中授予额外的 reader 角色。 先决条件 先决条件 创建 Azure Key Vault 实例。 创建磁盘加密集的实例。 授予磁盘加密集对密钥 vault 的访问权限。 流程 流程 在机器集

/var/run/secrets/tokens name: vault-token serviceAccountName: build-robot 1 volumes: - name: vault-token projected: sources: - serviceAccountToken: path: vault-token 2 expirationSeconds: expirationSeconds: 7200 3 audience: vault 4 $ oc create -f pod-projected-svc-token.yaml OpenShift Container Platform 4.13 认证 认证和授 和授权 权 104 先决条件 先决条件 您可以使用具有 cluster-admin 角色的用户访问集群。 您已

Secrets Store Container Storage Interface (CSI) Driver Operator 配置为使用供应商插件从外部 secret 管理系统（如 Azure Key Vault）挂载 secret。应用程序可以使用 secret，但 secret 在应用程序 pod 被销毁后不会在系统中保留。 Secret Store CSI Driver Operator（secrets-store Secret Store CSI Driver Operator： AWS Secrets Manager AWS Systems Manager Parameter Store Azure Key Vault 5.21.2. 关于 CSI 在过去，存储厂商一般会把存储驱动作为 Kubernetes 的一个部分提供。随着容器存储接口 (CSI) 的实 现，第三方供应商可以使用标准接口来提供存储插件，而无需更改核心

Container Platform 4.14 安装 安装 758 1 2 3 1 2. 运行以下命令，为 Azure Key Vault 和 Disk Encryption Set 设置以下环境变量： 指定您要创建的 Azure Key Vault 的名称。 指定您要创建的加密密钥名称。 指定您要创建的磁盘加密集的名称。 3. 运行以下命令，为您的 Azure Service Principal 运行以下命令，创建一个 Azure 资源组来保存磁盘加密集和相关资源： 6. 运行以下命令来创建 Azure 密钥库： 7. 运行以下命令，在密钥 vault 中创建加密密钥： 8. 运行以下命令捕获密钥 vault 的 ID： 9. 运行以下命令，捕获密钥 vault 中的密钥 URL： $ export KEYVAULT_NAME="" \ 1 KEYVAULT $KEYVAULT_NAME -g $RESOURCEGROUP -l $LOCATION \ --enable-purge-protection true $ az keyvault key create --vault-name $KEYVAULT_NAME -n $KEYVAULT_KEY_NAME \ --protection software $ KEYVAULT_ID=$(az keyvault

所需的技术信息来源，类似于其需要的 RBAC 规则及其管理或依赖的自定 义资源 (CR)。 2.3.1.7. 依 依赖项 Operator 可能会依赖于集群中存在的另一个 Operator。例如，Vault Operator 依赖于 etcd Operator 的 数据持久性层。 OLM 通过确保在安装过程中在集群中安装 Operator 和 CRD 的所有指定版本来解决依赖关系。通过在目 录中查找并安装满足所需

创建 Disk Encryption Set。 指定您要创建资源组的 Azure 位置。 2. 运行以下命令，为 Azure Key Vault 和 Disk Encryption Set 设置以下环境变量： 指定您要创建的 Azure Key Vault 的名称。 指定您要创建的加密密钥名称。 指定您要创建的磁盘加密集的名称。 3. 运行以下命令，为您的 Azure Service Principal 运行以下命令，创建一个 Azure 资源组来保存磁盘加密集和相关资源： 6. 运行以下命令来创建 Azure 密钥库： 7. 运行以下命令，在密钥 vault 中创建加密密钥： 8. 运行以下命令捕获密钥 vault 的 ID： 9. 运行以下命令，捕获密钥 vault 中的密钥 URL： $ export KEYVAULT_NAME="" \ 1 KEYVAULT $KEYVAULT_NAME -g $RESOURCEGROUP -l $LOCATION \ --enable-purge-protection true $ az keyvault key create --vault-name $KEYVAULT_NAME -n $KEYVAULT_KEY_NAME \ --protection software $ KEYVAULT_ID=$(az keyvault