Container Service for Kubernetes (ACK) menyediakan platform komputasi rahasia terkelola berbasis enkripsi perangkat keras Intel Software Guard Extensions (SGX). Dengan menjalankan beban kerja di dalam Trusted Execution Environment (TEE), data sensitif dan kode Anda tetap terlindungi dari akses tidak sah.
Kluster komputasi rahasia dirancang untuk beban kerja dengan persyaratan keamanan ketat, seperti rantai blok dan manajemen kunci.
Prasyarat
Sebelum memulai, pastikan Anda telah:
Mengaktifkan ACK dan memberikan otorisasi agar dapat mengakses sumber daya cloud lainnya. Untuk informasi selengkapnya, lihat Aktifkan dan berikan izin kepada ACK.
Batasan
| Resource | Constraint | Reference |
|---|---|---|
| Network | Kluster ACK hanya mendukung jaringan Virtual Private Cloud (VPC). | Apa itu VPC? |
| Elastic Compute Service (ECS) billing | Metode penagihan pay-as-you-go dan subscription didukung. Anda dapat mengubah metode penagihan dari pay-as-you-go ke subscription di Konsol ECS setelah instans dibuat. | Ubah metode penagihan instans ECS dari pay-as-you-go ke subscription |
| VPC route entries | Maksimal 200 entri rute dapat ditambahkan ke VPC yang menjalankan Flannel secara default. VPC yang menjalankan Terway tidak tunduk pada batasan ini. Untuk menambahkan lebih banyak entri rute, ajukan permintaan peningkatan kuota. | Quota Center |
| Security groups | Setiap akun dapat membuat hingga 100 grup keamanan secara default. | Lihat dan tingkatkan kuota resource |
| Server Load Balancer (SLB) instances | Setiap akun dapat membuat hingga 60 instans SLB pay-as-you-go secara default. | Quota Center |
| Elastic IP Address (EIP) | Setiap akun dapat membuat hingga 20 EIP secara default. | Quota Center |
Buat kluster komputasi rahasia
Masuk ke Konsol ACK. Di panel navigasi sebelah kiri, klik Clusters.
Klik Cluster Templates, pilih Confidential Computing Cluster di area Managed Clusters, lalu klik Create.
Pada tab ACK Managed Cluster, konfigurasikan parameter berikut. Pastikan parameter yang tercantum dalam tabel berikut dikonfigurasi untuk mengaktifkan komputasi rahasia; jika tidak, kluster yang dibuat tidak dapat menjalankan aplikasi Intel SGX. Untuk deskripsi lengkap semua opsi konfigurasi kluster, lihat Buat kluster ACK yang dikelola.
Prosesor Intel Ice Lake hanya mendukung remote attestation melalui Intel SGX Data Center Attestation Primitives (SGX DCAP). Remote attestation berbasis Intel Enhanced Privacy Identification (EPID) tidak didukung. Sesuaikan aplikasi Anda untuk menggunakan SGX DCAP sebelum melakukan deployment. Untuk informasi selengkapnya, lihat Intel attestation services.
Parameter Description Confidential Computing Opsi ini telah dipilih sebelumnya saat Anda menggunakan templat Confidential Computing Cluster. Biarkan tetap diaktifkan. Zone Pilih zona yang mendukung keluarga instans security-enhanced: Security-enhanced Compute Optimized Type c7t, Security-enhanced General Purpose Type g7t, dan Security-enhanced Memory Optimized Type r7t. Tidak semua zona menyediakan keluarga instans ini. Untuk memeriksa ketersediaan di wilayah target Anda, lihat Instance Types Available for Each Region. Container Runtime Pilih containerd versi 1.4.4 atau yang lebih baru. Instance Type Pilih tipe instans dari salah satu keluarga berikut: Security-enhanced Compute Optimized Type c7t, Security-enhanced General Purpose Type g7t, atau Security-enhanced Memory Optimized Type r7t. Keluarga-keluarga ini menggunakan prosesor Intel Xeon (Ice Lake) Platinum 8369B dengan dukungan SGX. Operating System Pilih Alibaba Cloud Linux 2.xxxx 64-bit (UEFI). Network Plug-in Pilih Flannel. Flannel adalah satu-satunya plugin jaringan yang didukung untuk kluster komputasi rahasia. Lengkapi konfigurasi sisanya sesuai petunjuk, baca dan terima syarat layanan, lalu klik Create Cluster.
Verifikasi hasil
Setelah Anda mengklik Create Cluster, provisioning kluster dimulai. Pembuatan kluster dengan beberapa node membutuhkan waktu sekitar 10 menit.
Untuk memverifikasi bahwa kluster siap digunakan:
Di Konsol ACK, klik Clusters di panel navigasi sebelah kiri.
Temukan kluster Anda dalam daftar. Saat status kluster berubah menjadi Running, kluster siap digunakan.
Langkah selanjutnya
Tambahkan kelompok node komputasi rahasia: Tambahkan kelompok node khusus dengan komputasi rahasia berbasis TEE yang diaktifkan secara default. Lihat Buat kelompok node yang mendukung komputasi rahasia.
Kembangkan dan deploy aplikasi SGX 2.0: Gunakan TEE-SDK untuk membangun dan menerapkan aplikasi Intel SGX 2.0 di kluster komputasi rahasia Anda. Lihat Gunakan TEE SDK untuk mengembangkan dan membangun aplikasi Intel SGX 2.0.
Aktifkan VM rahasia TDX: Buat kelompok node yang mendukung VM rahasia Trust Domain Extensions (TDX) untuk menambahkan komputasi rahasia berbasis TDX ke kluster yang sudah ada. Lihat Buat kelompok node yang mendukung VM rahasia TDX.
Jalankan Stable Diffusion dengan akselerasi CPU: Gunakan instans CPU g8i untuk menjalankan model Stable Diffusion XL Turbo dengan performa setara GPU. Lihat Gunakan akselerasi CPU untuk mempercepat inferensi model Stable Diffusion XL Turbo berbasis teks-ke-gambar.