Production Image¶
プロダクション・イメージは、高いセキュリティが要求されるプロダクション環境向けに提供される。暗号化された接続で接続される外部の etcd キー・バリュー・ストアが必要です。NetHSMプロセスは、ハードウェアベースの分離(KVM)とデバイス固有の暗号化で実行できます。イメージはOCIイメージとして配布され、DockerやPodmanのような互換性のあるエクゼキュータでローカルに実行できます。
The NetHSM production container is a product for paying customers only and can be purchased here.
The image can be obtained from Nitrokey NetHSM registry https://registry.git.nitrokey.com/distribution/nethsm> using the credentials provided after purchase.
警告
NetHSM ソフトウェアコンテナのセキュリティは、プラットフォームのセキュリティに強く依存します。危険なプラットフォームは、実行するNetHSMソフトウェアコンテナを簡単に危険にさらすことができます。さらに、TRNGは存在しないため、NetHSMが使用・提供するエントロピーはプラットフォームのエントロピーに依存します。
タギング・ポリシー¶
リポジトリ内の画像には、Git のコミットハッシュとリリースのバージョンがタグ付けされています。最新のイメージには``latest`` というタグが付けられます。
Modes of Operation¶
このイメージは、Unixプロセスまたはunikernelという2つの動作モードで実行できる。
- Unixプロセスモードは、NetHSMをオペレーティングシステム上のプロセスとして実行します。 
- The unikernel mode runs NetHSM as a guest in a KVM based virtual machine and provides strong separation from the host operating system. This mode is only available on Linux and requires access to the - /dev/tunand- /dev/kvmdevice nodes and the- NET_ADMINcapability. For security reasons we recommend the unikernel mode.
The mode can be set with the environment variable MODE (see next chapter Configuration).
構成¶
The container can be configured with the following environment variables.
| 環境変数 | 説明 | 
|---|---|
| DEBUG_LOG` | NetHSM の拡張ロギングを有効にします。 | 
| 
 | ロック解除パスフレーズを設定すると、コンテナ起動時に自動的にロックが解除される。 | 
| 
 | モードには unix または unikernel が指定でき、デフォルトは unix である。 | 
| 
 | etcdサービスを実行しているホストのURL/IPアドレス。 | 
| 
 | デフォルトは 2379 である。 | 
| 
 | The path to the certificate of the CA (Certificate Authority) which signed the client certificate. | 
| 
 | The path to the certificate for the client authentication. | 
| 
 | The path to the secret key for the client authentication. | 
証明書や秘密鍵などのコンテナ実行時の秘密は、DockerやPodmanのsecrets機能を使って設定する必要がある。
| 秘密変数 | 説明 | 
|---|---|
| 
 | クライアント証明書とサーバ証明書に署名したCA証明書。 | 
| 
 | NetHSM プロセスがキーバリューストアで認証を受けるためのクライアント証明書。 | 
| 
 | NetHSM プロセスがキーバリューストアで認証するためのクライアントキー。 | 
| 
 | Key-Value ストアの API 用のサーバー証明書。 | 
| 
 | Key-ValueストアのAPIのサーバーキー。 | 
| device_key` | NetHSM プロセスのデバイス・キー。デバイス・キーの詳細については、システム設計の`用語と規則<https://github.com/Nitrokey/nethsm/blob/main/docs/system-design.md#terminology-and-conventions>`__ の章を参照してください。 | 
Data Storage¶
システム構成、鍵、証明書は etcd データベースに格納される。etcd サービスは、コンテナの``/data`` パスにデータベースを格納する。コンテナ・エグゼキュータはこのパスをボリュームまたはバインドしてマウントすることができる。
使用方法¶
The production container supports two modes of operation. The following chapters describe how to run the container with the provided compose files or with the run command.
Unix Mode¶
提供されているコンポーズファイル` <https://raw.githubusercontent.com/Nitrokey/nethsm/refs/heads/main/src/container/alpine/compose-unix.yaml>` __はこちらから入手できます。composeファイルに記載されているシークレットに必要なファイルが利用可能であることを確認してください。
To run the container without the compose file you need to provide an external etcd yourself. Here you find the recommended container image for etcd. Make sure to pass the configuration options, as described in chapter Configuration.
コンテナは、次のように実行できます。
$ docker run -ti --rm -p 8443:8443 registry.git.nitrokey.com/distribution/nethsm:latest
$ podman run -ti --rm -p 8443:8443 registry.git.nitrokey.com/distribution/nethsm:latest
これはNetHSMをコンテナ内でUnixプロセスとして実行し、HTTPSプロトコル経由でポート`8443`にREST APIを公開する。
重要
コンテナは自己署名のTLS証明書を使用しています。正しい接続設定を使用して、接続を確立するようにしてください。詳しくは、`NetHSM導入編<index.html>`__の章をご参照ください。
ユニカーネルモード¶
提供されているコンポーズファイル` <https://raw.githubusercontent.com/Nitrokey/nethsm/refs/heads/main/src/container/alpine/compose-unikernel.yaml>` __はこちらから入手できます。composeファイルに記載されているシークレットに必要なファイルが利用可能であることを確認してください。
To run the container without the compose file you need to provide an external etcd yourself. Here you find the recommended container image for etcd. Make sure to pass the configuration options, as described in chapter Configuration.
コンテナは、次のように実行できます。
$ docker run -ti --rm -p 8443:8443 --device /dev/net/tun --device /dev/kvm --cap-add=NET_ADMIN -e "MODE=unikernel" registry.git.nitrokey.com/distribution/nethsm:latest
$ podman run -ti --rm -p 8443:8443 --device /dev/net/tun --device /dev/kvm --cap-add=NET_ADMIN -e "MODE=unikernel" registry.git.nitrokey.com/distribution/nethsm:latest
これは NetHSM を KVM 仮想マシン内のユニカーネルとして実行する。コンテナは HTTPS プロトコルを介して、IP アドレス 192.168.1.100、ポート 8443 のインターフェース tap200 に REST API を公開する。
重要
コンテナは自己署名のTLS証明書を使用しています。正しい接続設定を使用して、接続を確立するようにしてください。詳しくは、`NetHSM導入編<index.html>`__の章をご参照ください。