Erstellen eines SELinux Richtlinienmoduls auf Red Hat OpenShift Arbeitsknoten

Wenn Sie Speicher NFS verwenden und Ihre Worker-Knoten (SELinux) im Security Enhanced Linux® Durchsetzungsmodus ausführen, müssen Sie ein SELinux Richtlinienmodul auf allen Knoten erstellen, auf denen Db2U Pods ausgeführt werden.

Installationsphase
  • Sie sind nicht hier. Einrichten einer Client-Workstation
  • Sie sind nicht hier. Cluster einrichten
  • Sie sind nicht hier. Erfassen der erforderlichen Informationen
  • Sie sind nicht hier. Vorbereitung der Installation in einem eingeschränkten Netzwerk
  • Sie sind nicht hier. Vorbereitung der Ausführung von Installationen aus einer privaten Container-Registry
  • Sie befinden sich hier Symbol. Vorbereitung des Clusters für IBM® Software Hub
  • Sie sind nicht hier. Vorbereitung zur Installation einer Instanz von IBM Software Hub
  • Sie sind nicht hier. Installation einer Instanz von IBM Software Hub
  • Sie sind nicht hier. Einrichten der control plane
  • Sie sind nicht hier. Installation von Lösungen und Dienstleistungen
Wer muss diese Aufgabe erledigen?
Ein Cluster-Administrator muss diese Aufgabe ausführen.
Wann müssen Sie diese Aufgabe erledigen?
Wenn die folgenden Aussagen auf Ihre Umgebung zutreffen, müssen Sie ein SELinux Richtlinienmodul auf Ihren Red Hat OpenShift Container Platform Worker-Knoten erstellen:
  • Sie planen, Speicherplatz NFS zu nutzen
  • Ihre Worker-Knoten laufen SELinux im Durchsetzungsmodus
  • Sie planen die Installation eines oder mehrerer der folgenden Dienste:
    • Data Product Hub
    • Data Virtualization
    • Db2
    • Db2 Big SQL
    • Db2 Warehouse
    • IBM Knowledge Catalog
    • IBM Knowledge Catalog Premium
    • IBM Knowledge Catalog Standard
    • IBM Manta Data Lineage
    • OpenPages (mit einer internen Datenbank)
    • Risk and Compliance Foundationwatsonx.governance™ (mit einer internen Datenbank)

Wenn eine dieser Aussagen nicht auf Ihre Umgebung zutrifft, können Sie diese Aufgabe überspringen.

Informationen zu dieser Task

Wenn Sie die Installation von Diensten planen, die dedizierte Worker-Knoten unterstützen, stehen Ihnen folgende Optionen zur Verfügung:
  • Wenn Sie dedizierte Worker-Knoten einrichten möchten, erstellen Sie das Richtlinienmodul nur auf den Knoten, auf denen Sie die Dienste ausführen möchten
  • Wenn Sie keine dedizierten Worker-Knoten einrichten möchten, müssen Sie das Richtlinienmodul auf allen Worker-Knoten im Cluster erstellen.
Wenn Sie die Installation von Diensten planen, die keine dedizierten Worker-Knoten unterstützen, haben Sie folgende Optionen:
  • Erstellen Sie das Richtlinienmodul auf allen Worker-Knoten im Cluster.
  • Durchsetzungsmodus deaktivieren. (Wenn Sie diese Option wählen, müssen Sie das Richtlinienmodul nicht erstellen.)
  • Wählen Sie einen anderen Speichertyp für die Dienste. (Wenn Sie diese Option wählen, müssen Sie das Richtlinienmodul nicht erstellen, aber Sie müssen sicherstellen, dass Sie einen zusätzlichen Typ von persistenter Speicherung für Ihren Cluster einrichten.)

Die folgende Tabelle zeigt, welche Dienste dedizierte Knoten unterstützen:

Service- Unterstützt dedizierte Knoten Unterstützt keine dedizierten Knoten
Data Product Hub  
Data Virtualization  
Db2  
Db2 Big SQL  
Db2 Warehouse  
IBM Knowledge Catalog *  
IBM Knowledge Catalog Premium *  
IBM Knowledge Catalog Standard *  
IBM Manta Data Lineage
OpenPages (mit einer internen Datenbank) *  
Risk and Compliance FoundationIBM watsonx.governance (mit einer internen Datenbank) *  

* Der Dienst unterstützt dedizierte Knoten für Db2U.

Vorgehensweise

So erstellen Sie das SELinux Richtlinienmodul:

  1. Führen Sie die folgenden Schritte auf einem der Worker-Knoten im Cluster aus.

    Wenn Sie die Verwendung dedizierter Worker-Knoten planen, führen Sie diese Aufgabe auf einem der Knoten aus, den Sie als dedizierten Knoten ausgewählt haben.

    1. Erstellen Sie eine TEDatei namens db2u-nsf.te mit dem folgenden Inhalt:
      module db2u-nfs 1.0;
require {
  type nfs_t;
  type container_t;
  class fifo_file { create open read unlink write ioctl getattr setattr };
}
allow container_t nfs_t:fifo_file { create open read unlink write ioctl getattr setattr };
    2. Wandeln Sie die db2u-nsf.te Datei in eine Modul-Datei (MOD) mit dem Namen db2u-nfs.mod um:
      checkmodule -M -m -o db2u-nfs.mod db2u-nfs.te
    3. Kompilieren Sie die db2u-nfs.mod Datei zu einer Richtlinienpaketdatei (PP) mit dem Namen db2u-nfs.pp:
      semodule_package -o db2u-nfs.pp -m db2u-nfs.mod
    4. Installieren Sie das Richtlinienpaket auf dem Knoten:
      semodule -i db2u-nfs.pp
  2. Übertragen Sie die Richtlinienpaketdatei auf jeden Knoten, auf dem Sie das SELinux Richtlinienmodul installieren müssen. Führen Sie anschließend den Befehl zum Installieren des Richtlinienpakets aus:
    semodule -i db2u-nfs.pp