通过创建加密计算节点池使已有集群具备ACK TEE机密计算能力,ACK TEE机密计算可以让您把重要数据和代码放在一个特殊的可信执行加密环境中,避免在使用过程中被恶意窥探和窃取,减少敏感数据泄露风险。本文介绍如何创建加密计算节点池。

前提条件

  • 已创建一个托管版ACK集群,请参见创建Kubernetes托管版集群。且创建的集群必须符合以下要求:
    • 集群的网络插件必须选择Flannel。
    • 集群的容器运行时必须选择Docker。
  • 所在的Region和可用区可以购买到ecs.ebmhfg5.2xlarge型号的神龙裸金属实例。

背景信息

ACK-TEE机密计算是阿里云容器服务Kubernetes版ACK(Container Service for Kubernetes)基于Intel SGX提供的可信应用或用于交付和管理机密计算应用的云原生一站式机密计算平台,帮助您保护数据使用中的安全性、完整性和机密性。机密计算可以让您把重要的数据和代码放在一个特殊的可信执行加密环境(Trusted Execution Environment,TEE)中,而不会暴露给系统其他部分。其他应用、BIOS、OS、Kernel、管理员、运维人员、云厂商、甚至除了CPU以外的其他硬件均无法访问机密计算平台数据,极大减少敏感数据的泄露风险,为您提供了更好的控制、透明度和隐秘性。您可以在符合条件的已有Kubernetes托管版集群中,通过新建ACK-TEE机密计算节点池,快速为集群引入机密计算能力。

操作步骤

  1. 登录容器服务管理控制台
  2. 在控制台左侧导航栏中,选择集群。在目标集群的操作列下,单击节点池
  3. 节点池页面右上角,单击创建节点池
  4. 创建节点池页面,设置创建节点池的配置项。
    有关配置项的详细说明,请参见创建Kubernetes托管版集群。以下为创建机密计算节点池的重点配置项说明。
    配置项 描述
    加密计算集群 选择加密计算加密计算
    容器运行时 只能选择Docker运行时。
    自动伸缩 选择是否开启自动弹性伸缩。开启后,节点池会根据资源使用自动弹性扩容节点。
    实例规格 选择弹性裸金属服务器(神龙),设置实例规格ecs.ebmhfg5.2xlarge
    说明 实例规格允许选择多个不同的规格,仅ecs.ebmhfg5.2xlarge实例规格具备加密计算能力。当该型号没有库存时,您可以选择其他型号,此时创建的节点池将是普通节点池,不具备加密计算能力。
    实例规格
    数量 设置节点池初始节点数量。如不需要创建节点,可以填写为0。
    操作系统 只能选择Aliyun Linux操作系统。
    节点标签 您可以为集群节点添加标签。
    ECS标签 您可以为ECS实例添加标签。
  5. 单击确定
    节点池页面,如果节点池状态显示初始化中,则说明节点池正在创建中。
    集群列表页面,单击目标集群操作列下的查看日志,在集群日志页面可以查看详细的创建加密计算节点池的日志信息。集群日志
    创建完成后,状态显示为已激活已激活

后续步骤

创建机密计算节点池成功后,您可以创建并部署SGX应用,详情请参见通过SDK开发和构建一个SGX应用