通过创建加密计算节点池使已有集群具备ACK TEE机密计算能力,ACK TEE机密计算可以让您把重要数据和代码放在一个特殊的可信执行加密环境中,避免在使用过程中被恶意窥探和窃取,减少敏感数据泄露风险。本文介绍如何创建加密计算节点池。

前提条件

  • 已创建一个托管版ACK集群,请参见创建Kubernetes托管版集群。且创建的集群必须符合以下要求:
    • 集群的网络插件必须选择Flannel。
    • 集群的容器运行时必须选择Containerd。
  • 所在的Region和可用区可以购买到规格族安全增强计算型c7t安全增强通用型g7t安全增强内存型r7t的实例规格。
    说明 Intel IceLake仅支持基于Intel SGX DCAP的远程证明方式,不支持基于Intel EPID方式的远程证明方式,您的程序可能需要适配后才能正常使用远程证明功能。关于远程证明的更多信息,请参见attestation-services

背景信息

ACK-TEE机密计算是阿里云容器服务Kubernetes版ACK(Container Service for Kubernetes)基于Intel SGX2.0提供的可信应用或用于交付和管理机密计算应用的云原生一站式机密计算平台,帮助您保护数据使用中的安全性、完整性和机密性。机密计算可以让您把重要的数据和代码放在一个特殊的可信执行加密环境(Trusted Execution Environment,TEE)中,而不会暴露给系统其他部分。其他应用、BIOS、OS、Kernel、管理员、运维人员、云厂商、甚至除了CPU以外的其他硬件均无法访问机密计算平台数据,极大减少敏感数据的泄露风险,为您提供了更好的控制、透明度和隐秘性。您可以在符合条件的已有Kubernetes托管版集群中,通过新建ACK-TEE机密计算节点池,快速为集群引入机密计算能力。

操作步骤

  1. 登录容器服务管理控制台
  2. 在控制台左侧导航栏中,单击集群
  3. 在集群管理页左侧导航栏中,选择节点管理 > 节点池
  4. 节点池页面右上角,单击创建节点池
    您还可以在节点池页面右上角,单击创建托管节点池或者自动弹性伸缩配置创建托管节点池或者具有弹性功能的节点池。
  5. 创建节点池页面,设置创建节点池的配置项。
    有关配置项的详细说明,请参见创建Kubernetes托管版集群。以下为创建机密计算节点池的重点配置项说明。
    配置项 描述
    加密计算集群 选择加密计算加密计算
    容器运行时 只能选择Containerd运行时。
    自动伸缩 选择是否开启自动弹性伸缩。开启后,节点池会根据资源使用自动弹性扩容节点。
    实例规格 选择规格族安全增强计算型c7t安全增强通用型g7t安全增强内存型r7t的实例规格。
    数量 设置节点池初始节点数量。如不需要创建节点,可以填写为0。
    操作系统 只能选择AliyunLinux 2.xxxx 64位UEFI。
    节点标签 您可以为集群节点添加标签。
    ECS标签 您可以为ECS实例添加标签。
  6. 单击确认配置
    节点池页面,如果节点池状态显示初始化中,则说明节点池正在创建中。
    集群列表页面,单击目标集群操作列下的查看日志,在集群日志页面可以查看详细的创建加密计算节点池的日志信息。集群日志
    创建完成后,状态显示为已激活已激活

后续步骤

创建机密计算节点池成功后,您可以创建并部署SGX2.0应用,详情请参见通过SDK开发和构建SGX2.0应用