修改配置文件

  • Altas 500设备环境kmsagent可执行文件的位置是 /home/data/miniD/driver/tools/kmsagent,其他设备的文件位置为/usr/local/Ascend/driver/tools/kmsagent。
  • kmsagent.conf文件的默认路径为/var/kmsagentd/kmsagent.conf。
  • 请勿手动修改/var/kmsagentd/kmsagent.conf配置文件内容,请使用命令行方式修改此配置文件。
  • Crypto_fs与AI-VAULT的TlsCertPathTlsBackupCertPath参数值不可相同。
  1. 执行以下命令为容器运行创建独立的虚拟网络(以aiguard为例),并查询该网络的Gateway地址。

    docker network create aiguard
docker network inspect aiguard |grep Gateway

  2. 使用HwHiAiUser用户,修改配置文件。

    1. 修改“kmsagent.conf”中的IP参数值为上述命令查询到的AI-GUARD网络的Gateway地址。并配置Crypto_fs服务所用的端口(可选,默认1024),具体命令为:
      /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n IP -v {ip}
/usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n Port -v {port}
    2. 修改配置文件中的“SERVER_FOR_CFS”TlsCertPathTlsBackupCertPath的路径。(若TlsCertPathTlsBackupCertPath参数设置的目录已存在,且目录属主为HwHiAiUser用户,可跳过此步骤。)
      /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n TlsCertPath -v {HwHiAiUser用户所属的目录}
/usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n TlsBackupCertPath -v {HwHiAiUser用户所属的目录}
    3. 下载Crypto_fs所用设备证书的CA证书。配置Crypto_fs所用设备证书的CA证书路径,该路径不能在任意的“TlsCertPath”下,此处以{path-to-rsa.trust.pem}为例代指具体路径,且该文件路径仅为kmsagent运行属主可访问(如HwHiAiUser)且其他用户无法读写,则具体命令为:
      /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n CaPath -v {path-to-rsa.trust.pem}
      示例如下:
      # /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s SERVER_FOR_CFS -n CaPath -v /home/HwHiAiUser/cfs_ca_path/cfsca.pem
Modify config successfully.
    4. 配置AI-VAULT服务所用的IP和端口,具体命令为:
      /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CLIENT_FOR_AIVAULT -n ConnectIP -v {ip}
/usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CLIENT_FOR_AIVAULT -n ConnectPort -v {port}
    5. 修改配置文件中的“CLIENT_FOR_AIVAULT”TlsCertPathTlsBackupCertPath的路径。(若TlsCertPathTlsBackupCertPath参数设置的目录已存在,且目录属主为HwHiAiUser用户,可跳过此步骤。)
      /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CLIENT_FOR_AIVAULT -n TlsCertPath -v {HwHiAiUser用户所属的目录}
/usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CLIENT_FOR_AIVAULT  -n TlsBackupCertPath -v {HwHiAiUser用户所属的目录}
    6. 配置AI-VAULT所用设备证书的CA证书路径,该路径不能在任意的“TlsCertPath”下,此处以{path-to-rsa.trust.pem}为例代指具体路径,且该文件路径仅为kmsagent运行属主可访问(如HwHiAiUser)且其他用户无法读写,则具体命令为:
      /usr/local/Ascend/driver/tools/kmsagent -c /var/kmsagentd/kmsagent.conf -k /var/kmsagentd/kmsconf.ksf -s CLIENT_FOR_AIVAULT -n CaPath -v {path-to-rsa.trust.pem}

  3. 启动kmsagent服务生效配置文件。

    npu-smi set -t key-manage -s start

父主题: KMSAgent配置