全部產品
Search
文件中心

Container Service for Kubernetes:建立加密計算託管叢集

更新時間:Dec 07, 2024

針對有強安全訴求的業務情境,例如區塊鏈、密鑰管理等,ACK提供了基於硬體加密技術的雲原生一站式機密計算容器平台,支援將重要資料和代碼放在一個特殊的可信執行加密環境中,避免在使用過程中被惡意窺探和竊取,減少敏感性資料泄露風險。您可以在控制台建立機密計算託管叢集,以更好地保護資料使用過程中的機密性,同時降低可信或機密應用的開發和管理成本。

前提條件

已開通並授權Container ServiceACK

使用限制

限制項

說明

配額申請連結/相關文檔

網路

ACK叢集僅支援Virtual Private Cloud。

什麼是專用網路

雲資源

ECS執行個體

僅支援建立隨用隨付和訂用帳戶的ECS執行個體。執行個體建立後,您可以通過ECS管理主控台將隨用隨付轉預付費。

隨用隨付轉訂用帳戶

VPC路由條目

每個賬戶初始預設狀況下VPC路由條目不超過200條,當ACK叢集的網路模式是Flannel時,叢集的路由條目最大不能超過200個(網路模式是Terway則不受該影響)。如叢集需要更多路由條目數,您需要對目標VPC申請提高配額 。

配額中心

安全性群組

每個帳號預設最多可以建立100個安全性群組。

查看和提升安全性群組配額

Server Load Balancer執行個體

每個帳號預設最多可以建立60個隨用隨付的Server Load Balancer執行個體。

配額中心

EIP

每個帳號預設最多可以建立20個EIP。

配額中心

操作步驟

  1. 登入Container Service管理主控台,在左側導覽列選擇叢集

  2. 單擊叢集模板,在託管叢集地區選取項目加密計算託管叢集,並單擊建立

  3. ACK 託管叢集頁面,完成叢集配置項的配置。

    您可以參見建立ACK託管叢集瞭解配置項的全量說明。下表介紹建立加密計算託管叢集時必須遵守的配置,否則建立的叢集將無法支援運行Intel SGX應用。

    配置項

    說明

    加密計算

    保持開啟叢集的加密計算能力。

    可用性區域

    目前僅規格類型系列安全增強計算型c7t安全增強通用型g7t安全增強記憶體型r7t的執行個體規格支援加密計算叢集,請確保所選可用性區域包含這些執行個體規格。關於ECS執行個體規格可購買地區和可用性區域的更多資訊,請參見ECS執行個體規格可購買地區總覽

    容器運行時

    containerd 1.4.4及以上版本。

    執行個體規格

    選擇規格類型系列安全增強計算型c7t安全增強通用型g7t安全增強記憶體型r7t的執行個體規格。

    說明

    Intel IceLake僅支援基於Intel SGX DCAP的遠程證明方式,不支援基於Intel EPID方式的遠程證明方式,您的程式可能需要適配後才能正常使用遠程證明功能。關於遠程證明的更多資訊,請參見attestation-services

    作業系統類型

    Alibaba Cloud Linux 2.xxxx 64位UEFI版

    網路外掛程式

    僅支援使用Flannel

  4. 按照頁面指引建立完成後,確認叢集配置資訊,仔細閱讀並選中服務合約,然後單擊建立叢集

    叢集建立成功後,您可以在Container Service管理主控台的叢集列表頁面查看所建立的叢集。

    說明

    一個包含多節點的叢集的建立時間一般約為十分鐘。

相關文檔