全部产品
Search
文档中心

Container Service for Kubernetes:Buat kelompok node yang mendukung komputasi rahasia

更新时间:Jul 23, 2025

Anda dapat membuat kelompok node yang mendukung komputasi rahasia untuk kluster Container Service for Kubernetes (ACK). Kelompok ini berfungsi sebagai lingkungan eksekusi tepercaya (TEE) yang melindungi kode dan data sensitif dari pencurian atau gangguan saat digunakan. Topik ini menjelaskan cara membuat kelompok node tersebut.

Prasyarat

  • Kluster ACK yang dikelola telah dibuat. Untuk informasi lebih lanjut, lihat Buat Kluster ACK yang Dikelola. Kluster harus memenuhi persyaratan berikut:

    • Plug-in jaringan adalah Flannel.

    • Runtime kontainer adalah containerd.

  • Instance ECS (Elastic Compute Service) dari instance families berikut tersedia di wilayah dan zona yang dipilih: c7t security-enhanced compute-optimized, g7t security-enhanced general-purpose, dan r7t security-enhanced memory-optimized. Untuk informasi lebih lanjut tentang tipe instans ECS yang tersedia untuk wilayah dan zona berbeda, lihat Tipe Instans yang Tersedia untuk Setiap Wilayah.

    Catatan

    Intel Ice Lake hanya mendukung layanan pembuktian jarak jauh berdasarkan Intel Software Guard Extensions Data Center Attestation Primitives (SGX DCAP). Layanan pembuktian jarak jauh berdasarkan Intel Enhanced Privacy Identification (EPID) tidak didukung. Anda harus menyesuaikan aplikasi sebelum menggunakan layanan pembuktian jarak jauh. Untuk informasi lebih lanjut tentang layanan pembuktian jarak jauh, lihat attestation-services.

Informasi latar belakang

Komputasi rahasia berbasis TEE untuk ACK didukung oleh Intel SGX 2.0. Ini menyediakan platform cloud-native all-in-one untuk mengelola dan mengirimkan aplikasi komputasi rahasia. Hanya aplikasi terpercaya yang diizinkan berjalan dalam TEE, memastikan keamanan, integritas, dan kerahasiaan data yang sedang digunakan. Komputasi rahasia memungkinkan isolasi data sensitif dan kode dalam TEE, mencegah akses oleh sisa sistem. Data dalam TEE tidak dapat diakses oleh aplikasi eksternal, BIOS, sistem operasi, kernel, administrator, insinyur O&M, penyedia layanan cloud, atau komponen perangkat keras selain CPU. Hal ini mengurangi risiko kebocoran data dan menyederhanakan manajemen data. Anda dapat membuat kelompok node yang mendukung komputasi rahasia dalam kluster ACK yang dikelola untuk menyediakan komputasi rahasia bagi kluster.

Prosedur

  1. Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.

  2. Di halaman Clusters, temukan kluster yang ingin dikelola dan klik namanya. Di panel navigasi kiri, pilih Nodes > Node Pools.

  3. Di halaman Node Pools, klik Create Node Pool.

  4. Dalam kotak dialog Create Node Pool, atur parameter untuk kelompok node.

    Untuk informasi lebih lanjut tentang parameter, lihat Buat Kluster ACK yang Dikelola. Tabel berikut menjelaskan parameter yang diperlukan untuk membuat kelompok node yang mendukung komputasi rahasia.

    Parameter

    Deskripsi

    Confidential Computing

    Pilih Enable.

    Container Runtime

    Untuk membuat kelompok node yang mendukung komputasi rahasia, Anda harus memilih runtime containerd.

    Auto Scaling

    Tentukan apakah akan mengaktifkan penyesuaian skala otomatis. Jika Anda mengaktifkan penyesuaian skala otomatis, kelompok node secara otomatis menyesuaikan skala berdasarkan konsumsi sumber daya.

    Instance Type

    Pilih tipe instans dari keluarga instans berikut: c7t security-enhanced compute-optimized, g7t security-enhanced general-purpose, dan r7t security-enhanced memory-optimized.

    Expected Nodes

    Tentukan jumlah awal node dalam kelompok node. Jika Anda tidak ingin menambahkan node ke kelompok node, atur parameter ini ke 0.

    Operating System

    • Untuk kluster yang menjalankan Kubernetes 1.30 atau lebih baru: Alibaba Cloud Linux 3.2104 LTS 64-bit saja.

    • Untuk kluster di bawah Kubernetes 1.30: Alibaba Cloud Linux 2.xxxx 64-bit (UEFI) saja.

    Node Label

    Anda dapat menambahkan label ke node dalam kelompok node.

    ECS Label

    Anda dapat menambahkan label ke instans ECS yang dipilih.

  5. Klik Confirm Order.

    Di halaman Node Pools, periksa kolom Status dari kelompok node. Jika statusnya Initializing, kelompok node sedang dibuat.

    Di halaman Clusters, klik View Logs di kolom Actions. Di halaman yang muncul, Anda dapat melihat log dari kelompok node baru yang mendukung komputasi rahasia.集群日志

    Setelah kelompok node dibuat, kolom Status menampilkan Active.已激活

Apa yang harus dilakukan selanjutnya

Setelah kelompok node yang mendukung komputasi rahasia dibuat, Anda dapat membuat dan menerapkan aplikasi Intel SGX 2.0. Untuk informasi lebih lanjut, lihat Gunakan TEE SDK untuk Mengembangkan dan Membangun Aplikasi Intel SGX 2.0.