Untuk bisnis dengan persyaratan keamanan tinggi, seperti rantai blok dan manajemen kunci, Container Service for Kubernetes (ACK) menyediakan platform kontainer komputasi rahasia berbasis teknologi enkripsi perangkat keras yang bersifat cloud-native dan all-in-one. Platform ini memungkinkan penanganan data sensitif dan kode secara aman dalam Lingkungan Eksekusi Tepercaya (TEE), mencegah akses tidak sah serta mengurangi risiko pelanggaran data. Dengan membuat kluster komputasi rahasia terkelola melalui konsol, Anda dapat meningkatkan kerahasiaan data sambil meminimalkan biaya pengembangan dan pengelolaan aplikasi tepercaya atau rahasia.
Prasyarat
ACK telah diaktifkan dan diberi izin untuk mengakses sumber daya cloud lainnya. Untuk informasi lebih lanjut, lihat Aktifkan dan berikan izin kepada ACK.
Batasan
Item | Batasan | Tautan untuk meningkatkan batas kuota/referensi | |
Jaringan | Kluster ACK hanya mendukung VPC. | ||
Sumber daya cloud | ECS | Metode penagihan pay-as-you-go dan langganan didukung. Setelah Instance ECS dibuat, Anda dapat mengubah metode penagihannya dari pay-as-you-go menjadi langganan di konsol ECS. | Ubah metode penagihan Instance ECS dari pay-as-you-go menjadi langganan |
Entri rute VPC | Secara default, Anda dapat menambahkan paling banyak 200 entri rute ke VPC kluster ACK yang menjalankan Flannel. VPC kluster ACK yang menjalankan Terway tidak memiliki batasan ini. Jika Anda ingin menambahkan lebih banyak entri rute ke VPC kluster ACK Anda, minta peningkatan kuota untuk VPC. | ||
Grup keamanan | Secara default, Anda dapat membuat paling banyak 100 grup keamanan dengan setiap akun. | ||
Instance SLB | Secara default, Anda dapat membuat paling banyak 60 instance SLB pay-as-you-go dengan setiap akun. | ||
EIP | Secara default, Anda dapat membuat paling banyak 20 EIP dengan setiap akun. | ||
Prosedur
Masuk ke Konsol ACK. Di panel navigasi sebelah kiri, klik Clusters.
Klik Cluster Templates, pilih Confidential Computing Cluster di area Managed Clusters, lalu klik Create.
Pada tab ACK Managed Cluster, lengkapi konfigurasi kluster.
Konfigurasikan parameter sesuai kebutuhan menggunakan tabel berikut saat membuat kluster ACK terkelola untuk komputasi rahasia. Jika tidak, kluster yang dibuat tidak akan mendukung aplikasi Intel SGX. Untuk deskripsi lengkap konfigurasi kluster, lihat Buat kluster ACK terkelola.
Parameter
Deskripsi
Confidential Computing
Pilih Enable untuk tetap menjaga fitur komputasi rahasia kluster tetap aktif.
Zone
Hanya keluarga instance families berikut yang mendukung kluster ACK terkelola untuk komputasi rahasia: Security-enhanced Compute Optimized Type c7t, Security-enhanced General Purpose Type g7t, dan Security-enhanced Memory Optimized Type r7t. Pastikan zona yang dipilih mendukung keluarga instance ini. Untuk informasi lebih lanjut tentang tipe Instance ECS yang tersedia di berbagai wilayah dan zona, lihat Tipe Instance yang Tersedia untuk Setiap Wilayah.
Container Runtime
Pilih containerd versi 1.4.4 atau yang lebih baru.
Instance Type
Pilih tipe instance dari keluarga instance families berikut: Security-enhanced Compute Optimized Type c7t, Security-enhanced General Purpose Type g7t, dan Security-enhanced Memory Optimized Type r7t.
CatatanIntel Ice Lake hanya mendukung layanan remote attestation berdasarkan Intel Software Guard Extensions Data Center Attestation Primitives (SGX DCAP). Layanan remote attestation berdasarkan Intel Enhanced Privacy Identification (EPID) tidak didukung. Anda harus menyesuaikan aplikasi Anda sebelum dapat menggunakan layanan remote attestation. Untuk informasi lebih lanjut tentang layanan remote attestation, lihat attestation-services.
Operating System
Pilih Alibaba Cloud Linux 2.xxxx 64-bit (UEFI).
Network Plug-in
Hanya Flannel yang didukung.
Setelah mengonfigurasi parameter sesuai petunjuk, tinjau konfigurasi, baca dan setujui syarat layanan, lalu klik Create Cluster.
Setelah kluster berhasil dibuat, Anda dapat menemukannya di halaman Clusters pada Konsol ACK.
CatatanPembuatan kluster yang mencakup beberapa node memerlukan waktu sekitar 10 menit.
Referensi
Anda dapat membuat pool node yang mendukung komputasi rahasia. Secara default, node dalam pool node mendukung komputasi rahasia berbasis TEE. Untuk informasi lebih lanjut, lihat Buat pool node yang mendukung komputasi rahasia.
Setelah diterapkan, Anda dapat merujuk ke Gunakan TEE SDK untuk mengembangkan dan membangun aplikasi Intel SGX 2.0 guna mengembangkan, membangun, dan menerapkan aplikasi SGX 2.0 berbasis TEE-SDK.
Anda juga dapat membuat pool node yang mendukung VM komputasi rahasia Trust Domain Extensions (TDX) untuk memberikan kemampuan komputasi rahasia TDX pada kluster yang ada. Untuk informasi lebih lanjut, lihat Buat pool node yang mendukung VM komputasi rahasia TDX.
Setelah diterapkan, Anda dapat menggunakan model Stable Diffusion XL Turbo untuk merasakan performa seperti GPU pada instance CPU g8i. Untuk informasi lebih lanjut, lihat Gunakan percepatan CPU untuk mempercepat model Stable Diffusion XL Turbo untuk inferensi teks-ke-gambar.