加密计算将敏感数据和代码置于一个基于硬件的可信执行环境(TEE)中运行。这能保护数据在处理过程中的安全,防止被恶意窥探或窃取,是保护“使用中”数据的关键技术,适用于区块链、密钥管理等对安全有极高要求的业务。如需启用该能力,可创建加密计算集群及加密计算节点池,使其具备同样的安全防护等级。
ACK-TEE 机密计算是ACK基于Intel SGX2.0构建的云原生机密计算平台,保护数据使用中的安全性、完整性和机密性。它将重要数据和代码锁入可信执行环境(Trusted Execution Environment,TEE)。其他应用、BIOS、OS、Kernel、管理员、运维人员、云厂商,乃至CPU以外的所有硬件,无法触及其中的数据。风险因此降低,控制权回到您手中。
准备工作
了解使用限制
使用限制
限制项
说明
配额申请链接/相关文档
费用
用户账户至少需要有100元的余额并通过实名认证,否则无法创建按量付费的ECS实例和负载均衡。
网络
ACK集群仅支持专有网络VPC。
云资源
ECS实例
支持按量付费、包年包月和抢占式实例三种付费类型。实例创建后,您可以通过ECS管理控制台将按量付费转预付费。
VPC路由条目
每个账户初始默认状况下VPC路由条目不超过200条,当ACK集群的网络模式是Flannel时,集群的路由条目最大不能超过200个(网络模式是Terway则不受该影响)。如集群需要更多路由条目数,您需要对目标VPC申请提高配额 。
安全组
每个账号默认最多可以创建100个安全组。
负载均衡实例
每个账号默认最多可以创建60个按量付费的负载均衡实例。
EIP
每个账号默认最多可以创建20个EIP。
步骤一:创建加密计算集群
-
登录容器服务管理控制台,在左侧导航栏选择集群列表。
单击集群模板,选择加密计算托管集群,并单击创建。
在ACK 托管集群页面,按照页面提示完成集群的配置。
下表介绍加密计算集群的主要配置项。详见ACK托管集群配置项说明。
配置项
说明
加密计算
开启集群的加密计算能力。
可用区
目前仅规格族为安全增强计算型c7t、安全增强通用型g7t、安全增强内存型r7t的实例规格支持加密计算集群,请确保所选可用区包含这些实例规格。详见ECS实例规格可购买地域总览。
本步骤跳过节点池创建。如需了解加密计算节点池的主要配置项,可参见下文步骤二:创建加密计算节点池。
步骤二:创建加密计算节点池
-
在ACK集群列表页面,单击目标集群名称,在集群详情页左侧导航栏,选择。
单击创建节点池,按照页面提示完成节点的创建。
以下仅介绍加密计算节点池的主要配置项。详细配置项说明,请参见创建节点池。
配置项
描述
加密计算
启用加密计算。
容器运行时
仅支持containerd。
扩缩容模式
开启后,节点池会根据资源使用自动弹性扩容节点。
实例相关的配置项
选择规格族为安全增强计算型c7t、安全增强通用型g7t、安全增强内存型r7t。
选择的安全增强实例采用了更新的硬件安全验证技术。其远程证明功能仅支持新一代的 DCAP 方式,不再兼容旧的 EPID 方式。如您的应用仍基于EPID 开发,则需修改代码以适配 DCAP。
期望节点数
设置节点池初始节点数量。如无需创建节点,可填写为0。
操作系统
集群版本为1.30及以上: 支持Alibaba Cloud Linux 3.2104 LTS 64位 容器优化版、Alibaba Cloud Linux 3.2104 LTS 64位。
集群版本为1.30以下:仅支持Alibaba Cloud Linux 2.xxxx 64位UEFI版。
节点标签(Labels)
为集群节点添加标签。
ECS 标签
为ECS实例添加标签。
创建完成后,节点池的状态显示为已激活。
后续操作
部署完成后,可参见通过SDK开发和构建SGX2.0应用基于TEE-SDK开发、构建并部署一个SGX2.0示例应用。