针对有强安全诉求的业务场景,例如区块链、密钥管理等,ACK提供了基于硬件加密技术的云原生一站式机密计算容器平台,支持将重要数据和代码放在一个特殊的可信执行加密环境中,避免在使用过程中被恶意窥探和窃取,减少敏感数据泄露风险。您可以在控制台创建机密计算托管集群,以更好地保护数据使用过程中的机密性,同时降低可信或机密应用的开发和管理成本。
前提条件
使用限制
限制项 | 说明 | 配额申请链接/相关文档 | |
网络 | ACK集群仅支持专有网络VPC。 | ||
云资源 | ECS实例 | 仅支持创建按量付费和包年包月的ECS实例。实例创建后,您可以通过ECS管理控制台将按量付费转预付费。 | |
VPC路由条目 | 每个账户初始默认状况下VPC路由条目不超过200条,当ACK集群的网络模式是Flannel时,集群的路由条目最大不能超过200个(网络模式是Terway则不受该影响)。如集群需要更多路由条目数,您需要对目标VPC申请提高配额 。 | ||
安全组 | 每个账号默认最多可以创建100个安全组。 | ||
负载均衡实例 | 每个账号默认最多可以创建60个按量付费的负载均衡实例。 | ||
EIP | 每个账号默认最多可以创建20个EIP。 |
操作步骤
登录容器服务管理控制台,在左侧导航栏选择集群。
单击集群模板,在托管集群区域选择加密计算托管集群,并单击创建。
在ACK 托管集群页面,完成集群配置项的配置。
您可以参见创建ACK托管集群了解配置项的全量说明。下表介绍创建加密计算托管集群时必须遵守的配置,否则创建的集群将无法支持运行Intel SGX应用。
配置项
说明
加密计算
保持开启集群的加密计算能力。
可用区
目前仅规格族为安全增强计算型c7t、安全增强通用型g7t、安全增强内存型r7t的实例规格支持加密计算集群,请确保所选可用区包含这些实例规格。关于ECS实例规格可购买地域和可用区的更多信息,请参见ECS实例规格可购买地域总览。
容器运行时
containerd 1.4.4及以上版本。
实例规格
选择规格族为安全增强计算型c7t、安全增强通用型g7t、安全增强内存型r7t的实例规格。
说明Intel IceLake仅支持基于Intel SGX DCAP的远程证明方式,不支持基于Intel EPID方式的远程证明方式,您的程序可能需要适配后才能正常使用远程证明功能。关于远程证明的更多信息,请参见attestation-services。
操作系统类型
Alibaba Cloud Linux 2.xxxx 64位UEFI版。
网络插件
仅支持使用Flannel。
按照页面指引创建完成后,确认集群配置信息,仔细阅读并选中服务协议,然后单击创建集群。
集群创建成功后,您可以在容器服务管理控制台的集群列表页面查看所创建的集群。
说明一个包含多节点的集群的创建时间一般约为十分钟。
相关文档
您可以创建加密计算节点池,节点池中的节点默认支持ACK TEE机密计算能力,请参见创建加密计算节点池。
部署完成后,您可以参见通过SDK开发和构建SGX2.0应用,基于TEE-SDK开发、构建并部署一个SGX2.0示例应用。
您还可以创建TDX机密虚拟机计算节点池,使现有集群具备TDX机密计算能力,请参见创建TDX机密虚拟机计算节点池。
部署完成后,您可以基于Stable Diffusion XL Turbo模型,体验如何基于g8i CPU实例获得类似于GPU实例的使用体验,请参见使用CPU加速Stable Diffusion XL Turbo的文生图推理。