下载
中文
注册
我要评分
文档获取效率
文档正确性
内容完整性
文档易理解
在线提单
论坛求助
昇腾小AI

KMSAGENT相关参数解释

表1 KMSAGENT配置文件参数表

一级参数名称

二级参数名称

二级参数说明

SCENARIO

Position

应为aivault,表示密钥由AI-Vault管理的模式。

SERVER_FOR_CFS

IP

KMSAGENT连接Crypto-FS通信的IP。只能设置为127.0.0.1或172.0.0.0-172.255.255.255。

Port

KMSAGENT连接Crypto-FS通信的端口。端口范围[1024-65535]。

CaPath

KMSAGENT连接Crypto-FS通信的服务端根证书路径。设置的路径必须是存在的文件且HwHiAiUser 用户可访问。

TlsVersion

TLS通信协议版本号, 只能配置为TLSv1.3。

SslCipherSuites

安全密码套件名称,可选TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256。

TlsCertPath

TLS通信协议证书路径。设置的目录必须是存在且HwHiAiUser用户可访问。

TlsBackupCertPath

TLS通信协议证书路径备份。设置目录必须是存在且HwHiAiUser用户可访问。

CheckCertPeriod

检查证书的间隔时间。单位为天。默认周期为7配置范围为[1, 7]

LastTimeForAlarm

产生告警时证书的剩余有效期。单位为天。默认值为90配置范围为[7, 180]

CLIENT_FOR_AIVAULT

ConnectIP

KMSAGENT连接AiVault通信的IP。可配置IP为ABC类地址。

ConnectPort

KMSAGENT连接AiVault通信的端口。端口范围[1024-65535]。

CaPath

KMSAGENT连接AiVault通信的服务端根证书路径。设置的路径必须是存在的文件且HwHiAiUser 用户可访问。

TlsVersion

TLS通信协议版本号, 只能配置为TLSv1.3。

SslCipherSuites

安全密码套件名称,可选TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256。

TlsCertPath

TLS通信协议证书路径。设置的目录必须是存在且HwHiAiUser用户可访问。

TlsBackupCertPath

TLS通信协议证书路径备份。设置目录必须是存在且HwHiAiUser用户可访问。

CheckCertPeriod

检查证书的间隔时间。单位为天。默认周期为7配置范围为[1, 7]

LastTimeForAlarm

产生告警时证书的剩余有效期。单位为天。默认值为90配置范围为[7, 180]

KMSAGENT_KEYSTORE

KmcMainPath

kmsagent 运行时使用的kmc keystorefilea 。设置的文件可不存在,但是该文件的上层目录必须存在且HwHiAiUser 用户可访问。

KmcBackupPath

kmsagent运行时使用的kmc keystorefileb 。设置的文件可不存在,但是该文件的上层目录必须存在且HwHiAiUser 用户可访问。

KMSAGENT_PERFORMANCE

AcceptCfsFrequency

kmsagent每秒接收cfs加解密连接请求的数量,最小为1,最大值为128,默认值为32。

MaxMem

kmsagent内存限制,最小值为40M。0表示不限制内存,默认值为0。

WarnFdNums

表示kmsagent和cfs打开fd数目的告警值,达到配置值数目,日志告警提示。值>500

MaxFdNums

表示kmsagent和cfs打开fd数目的最大值,达到配置值数目,日志告警提示,并且进程睡眠5分钟。值>500

KMSAGENT_LOG

MaxLogSize

KMSAGENT日志大小,默认值为10*1024*1024。最小值512,最大值为20*1024*1024(单位byte)。

MaxLogFileNum

KMSAGENT日志数量,默认值为10。值范围[1-20]。

RunLogPath

KMSAGENT运行日志文件的目录。路径必须存在,且HwHiAiUser用户可读写访问。{$HOME}指用户home路径,默认地址为:{$HOME}/.kmsagent_log/。

SecLogPath

KMSAGENT安全日志文件的目录。路径必须存在,且HwHiAiUser用户可读写访问。{$HOME}指用户home路径,默认地址为:{$HOME}/.kmsagent_log/。

OpLogPath

KMSAGENT操作日志文件的目录。路径必须存在,且HwHiAiUser用户可读写访问。{$HOME}指用户home路径,默认地址为:{$HOME}/.kmsagent_log/。

VERIFICATION

FileCheckData

配置文件校验码,用户不可改。

  • 用户可以修改kmsagent.conf中AcceptCfsFrequency,KMSAGENT_PERFORMANCE的MaxMem,CFS_PERFORMANCE的MaxMem三个参数对cfs流量进行限制,从而使kmsagent达到防御拒绝服务攻击的效果。
    /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s KMSAGENT_PERFORMANCE -n AcceptCfsFrequency
     -v $CfsReceiveFrequency
    /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s KMSAGENT_PERFORMANCE -n MaxMem-v $KmsMaxMem
    /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CFS_PERFORMANCE -n MaxMem-v $CfsMaxMem

    具体命令为:

    执行以上命令后请参考修改配置文件步骤4重启kmsagent服务。

  • 安全密码套件名称。
    • TLSv1.3建议使用。
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
表2 kmsagent命令及参数说明

命令格式

命令功能

参数及选项说明

kmsagent <config_path> <config_ksf_path>

启动kmsagent。

  • config_path,配置文件路径。
  • config_ksf_path,keystore文件路径,用于校验配置文件完整性。

kmsagent <-c config_path> <-k ksf_path> <-s section> <-n name> <-v value>

修改kmsagent配置文件。

  • -c, --config_path,配置文件。
  • -k, --ksf_path,keystore路径。
  • -s, --section,配置项所属section。
  • -n, --name,待修改的配置项。
  • -v, --value,修改值。

kmsagent ${tls} get-csr <keyAndsignAlg_param> <cert_op_param> <config_path> <config_ksf_path>

生成csr功能。

  • tls ,证书操作标识,可选tls-client、tls-cfs。tls-client为KMSAgentAI-Vault双向通信证书操作的标志,tls-cfs为KMSAgentCrypto-FS双向通信证书操作的标志。
  • get-csr,生成csr标识。
  • keyAndsignAlg_param,生成csr文件的密钥和签名算法参数,密钥长度范围 [4096,8192] ,签名算法可选值:sha256、sha384、sha512,样例:rsa:4096:sha256。
  • cert_op_param,用户信息参数,样例:CN|sichuan|chengdu|Huawei|yanfabu。
  • config_path,配置文件路径。
  • config_ksf_path,keystore文件路径,用于校验配置文件完整性。

kmsagent ${tls} set-cert <cert_op_param> <config_path> <config_ksf_path>

导入证书功能。

  • tls ,证书操作标识,可选tls-client、tls-cfs。tls-client为KMSAgentAI-Vault双向通信证书操作的标志,tls-cfs为KMSAgentCrypto-FS双向通信证书操作的标志。
  • set-cert,导入证书标识。
  • cert_op_param,用户信息参数,样例:server.pem root_ca.pem other_ca.pem,server.pem为导入证书,root_ca.pem证书用于验证服务证书。
  • config_path,配置文件路径。
  • config_ksf_path,keystore文件路径,用于校验配置文件完整性

kmsagent ${tls} cert-info <config_path> <config_ksf_path>

查询证书功能。

  • tls ,证书操作标识,可选tls-client、tls-cfs。tls-client为KMSAgentAI-Vault双向通信证书操作的标志,tls-cfs为KMSAgentCrypto-FS双向通信证书操作的标志。
  • cert-info,查询证书标识。
  • config_path,配置文件路径。
  • config_ksf_path,keystore文件路径,用于校验配置文件完整性。

kmsagent ${tls} set-crl <crl_path> <config_path> <config_ksf_path>

导入crl功能。

  • tls ,证书操作标识,可选tls-client、tls-cfs。tls-client为KMSAgentAI-Vault双向通信证书操作的标志,tls-cfs为KMSAgentCrypto-FS双向通信证书操作的标志。
  • set-crl ,导入crl标志。
  • crl_path,吊销列表文件路径。
  • config_path,配置文件路径。
  • config_ksf_path,keystore文件路径,用于校验配置文件完整性。

kmsagent [options]

版本及帮助选项。

  • -h, --help,打印帮助信息。
  • -V, --version,显示版本号。
搜索结果
找到“0”个结果

当前产品无相关内容

未找到相关内容,请尝试其他搜索词