Production Image¶
Produkcijska slika je namenjena produkcijskim okoljem z visokimi varnostnimi zahtevami. Zahteva zunanjo shrambo ključev in vrednosti etcd, ki je povezana prek šifrirane povezave. Postopek NetHSM se lahko izvaja z ločitvijo na podlagi strojne opreme (KVM) in šifriranjem za posamezno napravo. Slika je distribuirana kot slika OCI in jo je mogoče zagnati lokalno z združljivim izvajalnikom, kot sta Docker in Podman.
V primerjavi s strojno opremo NetHSM naslednje funkcije niso implementirane v programskem vmesniku REST API zabojnika:
Network configuration
Factory reset
Reboot
Software update
Produkcijska posoda NetHSM je izdelek samo za plačljive stranke in ga lahko kupite na tukaj. Sliko lahko pridobite iz Registra Nitrokey NetHSM z uporabo poverilnic, ki jih dobite po nakupu.
Opozorilo
Varnost vsebnika programske opreme NetHSM je močno odvisna od varnosti platforme. Ogrožena platforma lahko zlahka ogrozi vsebnik programske opreme NetHSM, ki ga izvaja. Poleg tega TRNG ne obstaja, zato je entropija, ki jo uporablja in zagotavlja NetHSM, odvisna od entropije platforme.
Politika označevanja¶
Slike v skladišču so označene z hashem objave v sistemu Git in različico izdaje. Najnovejša slika je označena s latest.
Modes of Operation¶
Sliko je mogoče zagnati v dveh načinih delovanja, in sicer kot proces Unix ali unikernel.
V Unixovem procesnem načinu se NetHSM izvaja kot proces na vrhu operacijskega sistema.
Način unikernel zažene NetHSM kot gosta v virtualnem stroju, ki temelji na KVM, in zagotavlja močno ločitev od gostiteljskega operacijskega sistema. Ta način je na voljo samo v operacijskem sistemu Linux in zahteva dostop do vozlišč naprav /dev/tun in /dev/kvm ter zmogljivosti NET_ADMIN.
Pomembno
Zaradi varnosti se odločite za zagon vsebnika v načinu unikernel.
Način lahko nastavite z okoljsko spremenljivko MODE (glejte naslednje poglavje Konfiguracija).
Konfiguracija¶
The container can be configured with the following environment variables.
Spremenljivka okolja |
Opis |
|---|---|
|
Omogoča razširjeno beleženje za NetHSM. |
|
Nastavljena geslo za odklepanje samodejno odklene vsebnik med zagonom. |
|
Način sprejema vrednosti unix ali unikernel, privzeta vrednost je unix. |
|
Naslov URL/IP gostitelja, v katerem je nameščena storitev etcd. |
|
Vrata, na katerih teče storitev etcd, privzeta vrednost je 2379. |
|
The path to the certificate of the CA (Certificate Authority) which signed the client certificate. |
|
The path to the certificate for the client authentication. |
|
The path to the secret key for the client authentication. |
Skrivnosti za izvajanje vsebnika, kot so certifikati in zasebni ključi, je treba nastaviti s funkcijo skrivnosti v programu Docker ali Podman.
Skrivna spremenljivka |
Opis |
|---|---|
|
potrdilo CA, ki je podpisalo potrdilo odjemalca in strežnika. |
|
Potrdilo odjemalca za preverjanje pristnosti procesa NetHSM s shrambo vrednosti ključa. |
|
Odjemalčev ključ za preverjanje pristnosti procesa NetHSM s shrambo ključ-vrednost. |
|
Strežniško potrdilo za API shrambe vrednosti ključa. |
|
Strežniški ključ za API shrambe ključ-vrednost. |
|
Ključ naprave procesa NetHSM. Če želite izvedeti več o ključu naprave, glejte poglavje Terminologija in konvencije v zasnovi sistema. |
Uporaba¶
Produkcijska posoda podpira dva načina delovanja ` <container.html#Modes of Operation>` __. V naslednjih poglavjih je opisano, kako zagnati vsebnik s priloženimi datotekami compose ali z ukazom _run_.
Unix Mode¶
Zagotovljeno datoteko za sestavljanje lahko dobite tukaj. Prepričajte se, da imate na voljo potrebne datoteke za skrivnosti, navedene v datoteki compose.
Če želite vsebnik zagnati brez datoteke compose, morate sami zagotoviti zunanji etcd. Tukaj najdete priporočeno sliko vsebnika za etcd. Poskrbite, da boste posredovali konfiguracijske možnosti, kot je opisano v poglavju Konfiguracija.
Posodo lahko izvedete na naslednji način.
$ docker run -ti --rm -p 8443:8443 registry.git.nitrokey.com/distribution/nethsm:latest
$ podman run -ti --rm -p 8443:8443 registry.git.nitrokey.com/distribution/nethsm:latest
To bo zagnalo NetHSM kot proces Unix znotraj vsebnika in izpostavilo API REST na vratih 8443 prek protokola HTTPS.
Pomembno
Posoda uporablja samopodpisano potrdilo TLS. Poskrbite, da boste za vzpostavitev povezave uporabili pravilne nastavitve povezave. Če želite izvedeti več, si oglejte poglavje Uvod v NetHSM.
Način Unikernel¶
Zagotovljeno datoteko za sestavljanje lahko dobite tukaj. Prepričajte se, da imate na voljo potrebne datoteke za skrivnosti, navedene v datoteki compose.
Če želite vsebnik zagnati brez datoteke compose, morate sami zagotoviti zunanji etcd. Tukaj najdete priporočeno sliko vsebnika za etcd. Poskrbite, da boste posredovali konfiguracijske možnosti, kot je opisano v poglavju Konfiguracija.
Posodo lahko izvedete na naslednji način.
$ docker run -ti --rm -p 8443:8443 --device /dev/net/tun --device /dev/kvm --cap-add=NET_ADMIN -e "MODE=unikernel" registry.git.nitrokey.com/distribution/nethsm:latest
$ podman run -ti --rm -p 8443:8443 --device /dev/net/tun --device /dev/kvm --cap-add=NET_ADMIN -e "MODE=unikernel" registry.git.nitrokey.com/distribution/nethsm:latest
To bo zagnalo NetHSM kot unikernel znotraj virtualnega stroja KVM. Kontejner bo izpostavil API REST prek protokola HTTPS na vmesniku tap200 z naslovom IP 192.168.1.100 in vratom 8443.
Pomembno
Posoda uporablja samopodpisano potrdilo TLS. Poskrbite, da boste za vzpostavitev povezave uporabili pravilne nastavitve povezave. Če želite izvedeti več, si oglejte poglavje Uvod v NetHSM.