通過建立加密計算節點池使已有叢集具備ACK TEE機密計算能力,ACK TEE機密計算可以讓您把重要資料和代碼放在一個特殊的可信執行加密環境中,避免在使用過程中被惡意窺探和竊取,減少敏感性資料泄露風險。本文介紹如何建立加密計算節點池。
前提條件
已建立一個託管版ACK叢集,請參見建立Kubernetes託管版叢集。且建立的叢集必須符合以下要求:
叢集的網路外掛程式必須選擇Flannel。
叢集的容器運行時必須選擇Containerd。
所在的Region和可用性區域可以購買到規格類型系列為安全增強計算型c7t、安全增強通用型g7t、安全增強記憶體型r7t的執行個體規格。關於ECS執行個體規格可購買地區和可用性區域的更多資訊,請參見ECS執行個體規格可購買地區總覽。
說明Intel IceLake僅支援基於Intel SGX DCAP的遠程證明方式,不支援基於Intel EPID方式的遠程證明方式,您的程式可能需要適配後才能正常使用遠程證明功能。關於遠程證明的更多資訊,請參見attestation-services。
背景資訊
ACK-TEE機密計算是阿里雲Container ServiceKubernetes版ACK(Container Service for Kubernetes)基於Intel SGX2.0提供的可信應用或用於交付和管理機密計算應用的雲原生一站式機密計算平台,協助您保護資料使用中的安全性、完整性和機密性。機密計算可以讓您把重要的資料和代碼放在一個特殊的可信執行加密環境(Trusted Execution Environment,TEE)中,而不會暴露給系統其他部分。其他應用、BIOS、OS、Kernel、管理員、營運人員、雲廠商、甚至除了CPU以外的其他硬體均無法訪問機密計算平台資料,極大減少敏感性資料的泄露風險,為您提供了更好的控制、透明度和隱秘性。您可以在合格已有Kubernetes託管版叢集中,通過建立ACK-TEE機密計算節點池,快速為叢集引入機密計算能力。
操作步驟
在控制台左側導覽列,單擊叢集。
在叢集管理頁左側導覽列,選擇 。
在頁面右上方,單擊建立節點池。
在建立節點池頁面,設定建立節點池的配置項。
有關配置項的詳細說明,請參見建立Kubernetes託管版叢集。以下為建立機密計算節點池的重點配置項說明。
配置項 | 描述 |
加密計算 | 選中開啟。 |
容器運行時 | 只能選擇Containerd運行時。 |
自動調整 | 選擇是否開啟自動Auto Scaling。開啟後,節點池會根據資源使用自動彈性擴容節點。 |
執行個體規格 | 選擇規格類型系列為安全增強計算型c7t、安全增強通用型g7t、安全增強記憶體型r7t的執行個體規格。 |
期望節點數 | 設定節點池初始節點數量。如不需要建立節點,可以填寫為0。 |
作業系統 | 只能選擇Alibaba Cloud Linux 2.xxxx 64位UEFI。 |
節點標籤 | 您可以為叢集節點添加標籤。 |
ECS標籤 | 您可以為ECS執行個體添加標籤。 |
單擊確認配置。
在節點池頁面,如果節點池狀態顯示初始化中,則說明節點池正在建立中。
在叢集列表頁面,單擊目的地組群操作列下的查看日誌,在叢集日誌頁面可以查看詳細的建立加密計算節點池的日誌資訊。
建立完成後,狀態顯示為已啟用。
後續步驟
建立機密計算節點池成功後,您可以建立並部署SGX2.0應用,詳情請參見通過SDK開發和構建SGX2.0應用。