Container Service for Kubernetes (ACK) クラスターの機密コンピューティングをサポートするノードプールを作成できます。 ノードプールは、信頼できる実行環境 (TEE) として機能し、コードまたはデータが使用されているときにコードや機密データが盗聴されたり侵害されたりするのを防ぐことができます。 このトピックでは、機密コンピューティングをサポートするノードプールを作成する方法について説明します。
前提条件
ACK管理クラスターが作成されます。 詳細については、「ACK管理クラスターの作成」をご参照ください。 クラスターは次の要件を満たす必要があります。
ネットワークプラグインはFlannelです。
コンテナーランタイムはcontainerdです。
選択したリージョンとゾーンでは、c7t security-enhanced Compute-optimized、g7t security-enhanced general-purpose、r7t security-enhanced memory-optimizedのインスタンスファミリーのECS (Elastic compute Service) インスタンスを使用できます。 異なるリージョンおよびゾーンで使用可能なECSインスタンスタイプの詳細については、「各リージョンで使用可能なインスタンスタイプ」をご参照ください。
説明Intel Ice Lakeは、Intel Software Guard Extensions Data Center attestation Primitives (SGX DCAP) に基づくリモート認証サービスのみをサポートしています。 Intel Enhanced Privacy Identification (EPID) に基づくリモート認証サービスはサポートされていません。 リモート認証サービスを使用する前に、アプリケーションを調整する必要があります。 リモート認証サービスの詳細については、「attestation-services」をご参照ください。
背景情報
ACK用のTEEベースの機密コンピューティングは、Intel SGX 2.0を搭載しています。 クラウドネイティブのオールインワンプラットフォームを提供し、機密のコンピューティングアプリケーションを管理および提供します。 信頼できるアプリケーションのみがTEE内で実行できます。 これにより、使用中のデータのセキュリティ、整合性、および機密性が保証されます。 機密コンピューティングを使用すると、TEE内の機密データとコードを分離できます。 これは、データおよびコードがシステムの残りの部分によってアクセスされることを防止する。 TEE内に保存されたデータは、外部アプリケーション、BIOS、オペレーティングシステム、カーネル、管理者、O&Mエンジニア、クラウドサービスプロバイダ、およびCPU以外のハードウェアコンポーネントからアクセスできません。 これにより、データ漏えいの可能性が減り、データ管理が簡単になります。 ACK管理クラスターに機密コンピューティングをサポートするノードプールを作成して、クラスターに機密コンピューティングを提供できます。
手順
ACKコンソールにログインします。
ACKコンソールの左側のナビゲーションウィンドウで、[クラスター] をクリックします。
詳細ページの左側のナビゲーションウィンドウで、 を選択します。
では、ノードプールの作成ダイアログボックスで、ノードプールのパラメーターを設定します。
パラメーターの詳細については、「ACK管理クラスターの作成」をご参照ください。 機密コンピューティングをサポートするノードプールを作成するために必要なパラメーターを次の表に示します。
パラメーター
説明
機密コンピューティング
[有効化] を選択します。
Container Runtime
機密コンピューティングをサポートするノードプールを作成するには、containerdランタイムを選択する必要があります。
Auto Scaling
自動スケーリングを有効にするかどうかを指定します。 自動スケーリングを有効にすると、ノードプールはリソース消費量に基づいて自動的にスケーリングされます。
[インスタンスタイプ]
c7t security-enhanced compute-optimized、g7t security-enhanced general-purpose、r7t security-enhanced memory-optimizedのインスタンスファミリーからインスタンスタイプを選択します。
期待されるノード
ノードプール内のノードの初期数を指定します。 ノードプールにノードを追加しない場合は、このパラメーターを0に設定します。
オペレーティングシステム
Alibaba Cloud Linux 2.xxxx 64ビット (UEFI) オペレーティングシステムのみを選択します。
ノードラベル
ノードプール内のノードにラベルを追加できます。
ECSラベル
選択したECSインスタンスにラベルを追加できます。
クリック注文の確認.
[ノードプール] ページで、ノードプールの [ステータス] 列を確認します。 ノードプールが初期化状態の場合、ノードプールは作成中です。
[クラスター] ページで、[操作] 列の [ログの表示] をクリックします。 表示されるページで、機密コンピューティングをサポートする新しく作成されたノードプールのログデータを表示できます。
ノードプールが作成されると、ノードプールの [ステータス] 列に [アクティブ] が表示されます。
次のステップ
機密コンピューティングをサポートするノードプールを作成した後、Intel SGX 2.0アプリケーションを作成してデプロイできます。 詳細については、「TEE SDKを使用したIntel SGX 2.0アプリケーションの開発とビルド」をご参照ください。