修改配置文件
- Altas 500设备环境KMSAgent可执行文件的位置是 /home/data/miniD/driver/tools/kmsagent,其他设备的文件位置为/usr/local/Ascend/driver/tools/kmsagent。
- kmsagent.conf文件的默认路径为/var/kmsagentd/kmsagent.conf。
- 请勿手动修改/var/kmsagentd/kmsagent.conf配置文件内容,请使用命令行方式修改此配置文件。
- 配置文件中设置的目录参数需为绝对路径;并对该目录及目录下的文件进行权限控制,建议目录设置为700,文件设置为400。
- Crypto-FS与AI-Vault的TlsCertPath和TlsBackupCertPath参数值不可相同。
- 执行以下命令为容器运行创建独立的虚拟网络(以aiguard为例),并查询该网络的Gateway地址。
docker network create aiguard docker network inspect aiguard |grep Gateway
- 使用HwHiAiUser用户,修改配置文件。
- 修改“kmsagent.conf”中的IP参数值为上述命令查询到的AI-Guard网络的Gateway地址。并配置Crypto-FS服务所用的端口(可选,默认1024),具体命令为:
/usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n IP -v {ip} /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n Port -v {port}
- 修改配置文件中的“SERVER_FOR_CFS”下TlsCertPath和TlsBackupCertPath的路径。(若TlsCertPath和TlsBackupCertPath参数设置的目录已存在,且目录属主为HwHiAiUser用户,可跳过此步骤。)
/usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n TlsCertPath -v {HwHiAiUser用户所属的目录} /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n TlsBackupCertPath -v {HwHiAiUser用户所属的目录}
- 下载Crypto-FS所用设备证书的CA证书。配置Crypto-FS所用设备证书的CA证书路径,该路径不能在任意的“TlsCertPath”下,此处以{path-to-rsa.trust.pem}为例代指具体路径,且该文件路径仅为KMSAgent运行属主可访问(如HwHiAiUser)且其他用户无法读写,则具体命令为:
/usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n CaPath -v {path-to-rsa.trust.pem}
示例如下:# /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n CaPath -v /home/HwHiAiUser/cfs_ca_path/cfsca.pem Modify config successfully.
- 配置AI-Vault服务所用的IP和端口,具体命令为:
/usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CLIENT_FOR_AIVAULT -n ConnectIP -v {ip} /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CLIENT_FOR_AIVAULT -n ConnectPort -v {port}
- 修改配置文件中的“CLIENT_FOR_AIVAULT”下TlsCertPath和TlsBackupCertPath的路径。(若TlsCertPath和TlsBackupCertPath参数设置的目录已存在,且目录属主为HwHiAiUser用户,可跳过此步骤。)
/usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CLIENT_FOR_AIVAULT -n TlsCertPath -v {HwHiAiUser用户所属的目录} /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CLIENT_FOR_AIVAULT -n TlsBackupCertPath -v {HwHiAiUser用户所属的目录}
- 配置AI-Vault所用设备证书的CA证书路径,该路径不能在任意的“TlsCertPath”下,此处以{path-to-rsa.trust.pem}为例代指具体路径,且该文件路径仅为KMSAgent运行属主可访问(如HwHiAiUser)且其他用户无法读写,则具体命令为:
/usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CLIENT_FOR_AIVAULT -n CaPath -v {path-to-rsa.trust.pem}
- 修改“kmsagent.conf”中的IP参数值为上述命令查询到的AI-Guard网络的Gateway地址。并配置Crypto-FS服务所用的端口(可选,默认1024),具体命令为:
- 启动KMSAgent服务生效配置文件。
npu-smi set -t key-manage -s start
父主题: KMSAgent配置