通过创建加密计算节点池使已有集群具备ACK TEE机密计算能力,ACK TEE机密计算可以让您把重要数据和代码放在一个特殊的可信执行加密环境中,避免在使用过程中被恶意窥探和窃取,减少敏感数据泄露风险。本文介绍如何创建加密计算节点池。
前提条件
已创建一个托管版ACK集群,请参见创建Kubernetes托管版集群。且创建的集群必须符合以下要求:
集群的网络插件必须选择Flannel。
集群的容器运行时必须选择Containerd。
所在的Region和可用区可以购买到规格族为安全增强计算型c7t、安全增强通用型g7t、安全增强内存型r7t的实例规格。关于ECS实例规格可购买地域和可用区的更多信息,请参见ECS实例规格可购买地域总览。
说明Intel IceLake仅支持基于Intel SGX DCAP的远程证明方式,不支持基于Intel EPID方式的远程证明方式,您的程序可能需要适配后才能正常使用远程证明功能。关于远程证明的更多信息,请参见attestation-services。
背景信息
ACK-TEE机密计算是阿里云容器服务Kubernetes版ACK(Container Service for Kubernetes)基于Intel SGX2.0提供的可信应用或用于交付和管理机密计算应用的云原生一站式机密计算平台,帮助您保护数据使用中的安全性、完整性和机密性。机密计算可以让您把重要的数据和代码放在一个特殊的可信执行加密环境(Trusted Execution Environment,TEE)中,而不会暴露给系统其他部分。其他应用、BIOS、OS、Kernel、管理员、运维人员、云厂商、甚至除了CPU以外的其他硬件均无法访问机密计算平台数据,极大减少敏感数据的泄露风险,为您提供了更好的控制、透明度和隐秘性。您可以在符合条件的已有Kubernetes托管版集群中,通过新建ACK-TEE机密计算节点池,快速为集群引入机密计算能力。
操作步骤
登录容器服务管理控制台。
在控制台左侧导航栏,单击集群。
在集群管理页左侧导航栏,选择。
在页面右上角,单击创建节点池。
在创建节点池页面,设置创建节点池的配置项。
有关配置项的详细说明,请参见创建Kubernetes托管版集群。以下为创建机密计算节点池的重点配置项说明。
配置项 | 描述 |
加密计算 | 选中开启。 |
容器运行时 | 只能选择Containerd运行时。 |
自动伸缩 | 选择是否开启自动弹性伸缩。开启后,节点池会根据资源使用自动弹性扩容节点。 |
实例规格 | 选择规格族为安全增强计算型c7t、安全增强通用型g7t、安全增强内存型r7t的实例规格。 |
期望节点数 | 设置节点池初始节点数量。如不需要创建节点,可以填写为0。 |
操作系统 | 只能选择Alibaba Cloud Linux 2.xxxx 64位UEFI。 |
节点标签 | 您可以为集群节点添加标签。 |
ECS标签 | 您可以为ECS实例添加标签。 |
单击确认配置。
在节点池页面,如果节点池状态显示初始化中,则说明节点池正在创建中。
在集群列表页面,单击目标集群操作列下的查看日志,在集群日志页面可以查看详细的创建加密计算节点池的日志信息。
创建完成后,状态显示为已激活。
后续步骤
创建机密计算节点池成功后,您可以创建并部署SGX2.0应用,详情请参见通过SDK开发和构建SGX2.0应用。