Buat node pool yang mendukung TDX confidential VMs di kluster ACK - Container Service for Kubernetes

Container Service for Kubernetes (ACK) mendukung instance Elastic Compute Service (ECS) yang menggunakan teknologi Intel® Trusted Domain Extension (Intel® TDX). Anda dapat membuat node pool yang mendukung TDX confidential VMs di kluster ACK untuk mengaktifkan komputasi rahasia TDX. Setelah membuat node pool ini, Anda dapat menerapkan aplikasi tanpa perlu memodifikasi kode aplikasi, meningkatkan keamanan aplikasi secara signifikan. Panduan ini menjelaskan cara membuat node pool yang mendukung TDX confidential VMs dan menerapkan aplikasi di dalamnya.

Batasan

Sebelum menggunakan lingkungan komputasi rahasia TDX, tinjau Masalah yang Diketahui dan Batasan Fungsionalitas untuk mempelajari batasan terkait.

Prasyarat

Pastikan Anda telah membuat ACK Pro Cluster di wilayah China (Beijing). Untuk informasi lebih lanjut, lihat Buat Kluster Terkelola ACK.

Pengenalan TDX

Intel^® TDX adalah teknologi berbasis perangkat keras CPU yang menyediakan isolasi dan enkripsi dengan bantuan perangkat keras untuk instance ECS, melindungi data waktu proses seperti register CPU, data memori, dan injeksi interupsi. Intel^® TDX membantu meningkatkan privasi data dan mengurangi risiko akses tidak sah ke proses yang sedang berjalan atau data sensitif yang sedang diproses. Untuk informasi lebih lanjut tentang Intel^® TDX, lihat Intel® Trust Domain Extensions (Intel® TDX).

Intel^® TDX memberikan perlindungan out-of-the-box untuk instance ECS dan aplikasi Anda. Anda dapat memigrasikan aplikasi ke instance yang mendukung TDX tanpa perlu memodifikasi kode aplikasi.

Node pool yang mendukung TDX confidential VMs dapat diskalakan dengan mulus dan meningkatkan kerahasiaan sistem operasi serta perangkat keras. Anda dapat dengan cepat membuat node pool ini di kluster ACK untuk menskalakan dan memelihara aplikasi yang memerlukan keamanan tinggi. Node pool ini cocok untuk skenario komputasi rahasia seperti pengendalian risiko keuangan, privasi data kesehatan, AI-Generated Content (AIGC), inferensi dan fine-tuning Large Language Model (LLM), basis data rahasia, serta aplikasi data besar.

Gambar berikut menunjukkan cara menggunakan fitur keamanan berbasis perangkat keras seperti TDX dan Advanced Matrix Extensions (AMX) dengan perlindungan data model end-to-end untuk memastikan keamanan inferensi.

Langkah 1: Buat node pool

Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Di halaman Clusters, temukan kluster yang ingin dikelola dan klik namanya. Di panel navigasi kiri, pilih Nodes > Node Pools.

Klik Create Node Pool di pojok kanan atas halaman, konfigurasikan parameter, lalu klik Confirm Order.

Tabel berikut menjelaskan parameter utama. Untuk informasi lebih lanjut, lihat Buat dan Kelola Node Pool.

Parameter	Deskripsi
vSwitch	Pilih vSwitch di Zone I.
Auto Scaling	Biarkan pengaturan default. Auto scaling dinonaktifkan dalam contoh ini.
Instance Type	Pilih g8i.xlarge atau lebih tinggi.
Expected Nodes	Tentukan jumlah awal node di node pool. Biarkan nilai default 0.
Operating System	Pilih Alibaba Cloud Linux 3.2104 LTS 64-bit.
Klik Advanced Options (Optional) untuk mengonfigurasi parameter berikut.
Node Label	Kami sarankan Anda menambahkan label node untuk penjadwalan pod. Kunci: `nodepool-label` Nilai: `tdx-vm-pool`

Langkah 2: Buat instance ECS yang memiliki TDX diaktifkan

Langkah-langkah untuk membuat instance yang mendukung TDX di Konsol ECS serupa dengan pembuatan instance biasa. Perhatikan parameter spesifik berikut. Untuk informasi tentang parameter umum lainnya, lihat Buat Instance di Tab Peluncuran Kustom.

Pergi ke Konsol ECS - Instance.
Di bilah navigasi atas, pilih wilayah dan grup sumber daya dari sumber daya yang ingin Anda kelola.

Klik Create Instance dan konfigurasikan parameter. Tabel berikut menjelaskan parameter tersebut.

Parameter	Deskripsi
Jaringan dan Zona	Tipe instance yang tersedia bervariasi berdasarkan jaringan dan zona yang Anda pilih. Beijing Zone I: Hanya tipe instance ecs.g8i.xlarge atau lebih besar yang didukung. Beijing Zone L: Hanya tipe instance ecs.gn8v-tee.4xlarge atau lebih besar yang didukung.
Tipe Instance
Image	Pilih Confidential VM, lalu pilih Alibaba Cloud Linux 3.2104 LTS 64-bit sebagai versi image. Catatan Tipe instance gn8v-tee terkait memiliki fitur komputasi rahasia CPU dan GPU yang diaktifkan secara default, tanpa opsi Confidential VM.

Buat instance sesuai petunjuk.

(Opsional) Langkah 3: Periksa status TDX pada instance ECS

Masuk ke instance ECS dan ikuti langkah-langkah berikut untuk memeriksa status TDX. Pastikan bahwa instance ECS berada di bawah perlindungan TDX.

Periksa apakah TDX diaktifkan.
```
lscpu |grep -i tdx_guest
```
Keluaran perintah berikut menunjukkan bahwa TDX diaktifkan.
Periksa apakah driver TDX terinstal.
```
ls -l /dev/tdx_guest
```
Keluaran perintah berikut menunjukkan bahwa driver TDX terinstal.

Langkah 4: Tambahkan instance ECS ke node pool.

Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Di halaman Clusters, temukan kluster yang ingin dikelola dan klik namanya. Di panel navigasi kiri, pilih Nodes > Node Pools.
Pilih More > Add Existing Node di kolom Actions dari node pool. Di halaman panduan Pilih ECS Instance yang Ada, atur Mode ke Auto, pilih instance ECS yang Anda buat di Langkah 2, lalu ikuti petunjuk di layar untuk menyelesaikan konfigurasi.
Untuk informasi lebih lanjut tentang cara menambahkan node yang ada, lihat Tambah Instance ECS yang Ada.

Langkah 5: Terapkan aplikasi

Setelah node pool yang mendukung TDX confidential VMs dibuat, Anda dapat memigrasikan aplikasi Anda ke instance ECS yang memiliki TDX diaktifkan di node pool. Migrasi ini bebas gangguan bagi aplikasi.

Gunakan konsol ACK

Di halaman Clusters, temukan kluster yang Anda inginkan dan klik namanya. Di panel kiri, pilih Workloads > Pods.

Klik Create from YAML di pojok kanan atas halaman. Atur Sample Template ke Custom, salin konten YAML berikut, lalu klik Create.

apiVersion: v1
kind: Pod
metadata:
  labels:
    name: pod-tdx-vm
  name: pod-tdx-vm
spec:
  containers:
    - image: alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
      name: hello
      command:
      - sh
      - -c
      - 'echo hello && sleep infinity'
  nodeSelector:    # Pastikan bahwa pod dijadwalkan ke instance ECS yang memiliki TDX diaktifkan.
    nodepool-label: tdx-vm-pool

Setelah Anda menyelesaikan konfigurasi, Anda dapat melihat status dan informasi lainnya dari pod di halaman Pods. Jika pod berada dalam status Running, aplikasi telah diterapkan.

Gunakan kubectl

Klien kubectl terhubung ke kluster Anda.

Buat file bernama pod-tdx-vm.yaml dan tambahkan konten berikut ke file tersebut:

apiVersion: v1
kind: Pod
metadata:
  labels:
    name: pod-tdx-vm
  name: pod-tdx-vm
spec:
  containers:
    - image: alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
      name: hello
      command:
      - sh
      - -c
      - 'echo hello && sleep infinity'
  nodeSelector:    # Pastikan bahwa pod dijadwalkan ke instance ECS yang memiliki TDX diaktifkan.
    nodepool-label: tdx-vm-pool

Jalankan perintah berikut untuk menerapkan file pod-tdx-vm.yaml. Pod bernama pod-tdx-vm dibuat.
```
kubectl apply -f pod-tdx-vm.yaml
```

Jalankan perintah berikut untuk memeriksa apakah aplikasi telah diterapkan:

kubectl get pod pod-tdx-vm

Keluaran yang diharapkan:

NAME         READY   STATUS    RESTARTS   AGE
pod-tdx-vm   1/1     Running   0          52s