針對有強安全訴求的業務情境,例如區塊鏈、密鑰管理等,ACK提供了基於硬體加密技術的雲原生一站式機密計算容器平台,支援將重要資料和代碼放在一個特殊的可信執行加密環境中,避免在使用過程中被惡意窺探和竊取,減少敏感性資料泄露風險。您可以在控制台建立機密計算託管叢集,以更好地保護資料使用過程中的機密性,同時降低可信或機密應用的開發和管理成本。
前提條件
使用限制
限制項 | 說明 | 配額申請連結/相關文檔 | |
網路 | ACK叢集僅支援Virtual Private Cloud。 | ||
雲資源 | ECS執行個體 | 僅支援建立隨用隨付和訂用帳戶的ECS執行個體。執行個體建立後,您可以通過ECS管理主控台將隨用隨付轉預付費。 | |
VPC路由條目 | 每個賬戶初始預設狀況下VPC路由條目不超過200條,當ACK叢集的網路模式是Flannel時,叢集的路由條目最大不能超過200個(網路模式是Terway則不受該影響)。如叢集需要更多路由條目數,您需要對目標VPC申請提高配額 。 | ||
安全性群組 | 每個帳號預設最多可以建立100個安全性群組。 | ||
Server Load Balancer執行個體 | 每個帳號預設最多可以建立60個隨用隨付的Server Load Balancer執行個體。 | ||
EIP | 每個帳號預設最多可以建立20個EIP。 |
操作步驟
登入Container Service管理主控台,在左側導覽列選擇叢集。
單擊叢集模板,在託管叢集地區選取項目加密計算託管叢集,並單擊建立。
在ACK 託管叢集頁面,完成叢集配置項的配置。
您可以參見建立ACK託管叢集瞭解配置項的全量說明。下表介紹建立加密計算託管叢集時必須遵守的配置,否則建立的叢集將無法支援運行Intel SGX應用。
配置項
說明
加密計算
保持開啟叢集的加密計算能力。
可用性區域
目前僅規格類型系列為安全增強計算型c7t、安全增強通用型g7t、安全增強記憶體型r7t的執行個體規格支援加密計算叢集,請確保所選可用性區域包含這些執行個體規格。關於ECS執行個體規格可購買地區和可用性區域的更多資訊,請參見ECS執行個體規格可購買地區總覽。
容器運行時
containerd 1.4.4及以上版本。
執行個體規格
選擇規格類型系列為安全增強計算型c7t、安全增強通用型g7t、安全增強記憶體型r7t的執行個體規格。
說明Intel IceLake僅支援基於Intel SGX DCAP的遠程證明方式,不支援基於Intel EPID方式的遠程證明方式,您的程式可能需要適配後才能正常使用遠程證明功能。關於遠程證明的更多資訊,請參見attestation-services。
作業系統類型
Alibaba Cloud Linux 2.xxxx 64位UEFI版。
網路外掛程式
僅支援使用Flannel。
按照頁面指引建立完成後,確認叢集配置資訊,仔細閱讀並選中服務合約,然後單擊建立叢集。
叢集建立成功後,您可以在Container Service管理主控台的叢集列表頁面查看所建立的叢集。
說明一個包含多節點的叢集的建立時間一般約為十分鐘。
相關文檔
您可以建立加密計算節點池,節點池中的節點預設支援ACK TEE機密計算能力,請參見建立加密計算節點池。
部署完成後,您可以參見通過SDK開發和構建SGX2.0應用,基於TEE-SDK開發、構建並部署一個SGX2.0樣本應用。
您還可以建立TDX機密虛擬機器計算節點池,使現有叢集具備TDX機密計算能力,請參見建立TDX機密虛擬機器計算節點池。
部署完成後,您可以基於Stable Diffusion XL Turbo模型,體驗如何基於g8i CPU執行個體獲得類似於GPU執行個體的使用體驗,請參見使用CPU加速Stable Diffusion XL Turbo的文生圖推理。