创建加密计算托管集群

针对有强安全诉求的业务场景,例如区块链、密钥管理等,ACK提供了基于硬件加密技术的云原生一站式机密计算容器平台,支持将重要数据和代码放在一个特殊的可信执行加密环境中,避免在使用过程中被恶意窥探和窃取,减少敏感数据泄露风险。您可以在控制台创建机密计算托管集群,以更好地保护数据使用过程中的机密性,同时降低可信或机密应用的开发和管理成本。

前提条件

已开通并授权容器服务ACK

使用限制

限制项

说明

配额申请链接/相关文档

费用

用户账户至少需要有100元的余额并通过实名认证,否则无法创建按量付费的ECS实例和负载均衡。

计费概述

网络

ACK集群仅支持专有网络VPC。

什么是专有网络

云资源

ECS实例

仅支持创建按量付费和包年包月的ECS实例。实例创建后,您可以通过ECS管理控制台将按量付费转预付费。

按量付费转包年包月

VPC路由条目

每个账户初始默认状况下VPC路由条目不超过200条,当ACK集群的网络模式是Flannel时,集群的路由条目最大不能超过200个(网络模式是Terway则不受该影响)。如集群需要更多路由条目数,您需要对目标VPC申请提高配额 。

配额中心

安全组

每个账号默认最多可以创建100个安全组。

查看和提升安全组配额

负载均衡实例

每个账号默认最多可以创建60个按量付费的负载均衡实例。

配额中心

EIP

每个账号默认最多可以创建20个EIP。

配额中心

操作步骤

  1. 登录容器服务管理控制台,在左侧导航栏选择集群

  2. 单击集群模板,在托管集群区域选择加密计算托管集群,并单击创建

  3. ACK 托管集群页面,完成集群配置项的配置。

    您可以参见创建ACK托管集群了解配置项的全量说明。下表介绍创建加密计算托管集群时必须遵守的配置,否则创建的集群将无法支持运行Intel SGX应用。

    配置项

    说明

    加密计算

    保持开启集群的加密计算能力。

    可用区

    目前仅规格族安全增强计算型c7t安全增强通用型g7t安全增强内存型r7t的实例规格支持加密计算集群,请确保所选可用区包含这些实例规格。关于ECS实例规格可购买地域和可用区的更多信息,请参见ECS实例规格可购买地域总览

    容器运行时

    containerd 1.4.4及以上版本。

    实例规格

    选择规格族安全增强计算型c7t安全增强通用型g7t安全增强内存型r7t的实例规格。

    说明

    Intel IceLake仅支持基于Intel SGX DCAP的远程证明方式,不支持基于Intel EPID方式的远程证明方式,您的程序可能需要适配后才能正常使用远程证明功能。关于远程证明的更多信息,请参见attestation-services

    操作系统类型

    Alibaba Cloud Linux 2.xxxx 64位UEFI版

    网络插件

    仅支持使用Flannel

  4. 按照页面指引创建完成后,确认集群配置信息,仔细阅读并选中服务协议,然后单击创建集群

    集群创建成功后,您可以在容器服务管理控制台的集群列表页面查看所创建的集群。

    说明

    一个包含多节点的集群的创建时间一般约为十分钟。

相关文档