Deploy aplikasi ke node pool yang mendukung TDX VM konfidensial - Container Service for Kubernetes

Jika Anda menjalankan workload yang menangani data sensitif—seperti catatan keuangan, informasi kesehatan, atau bobot model AI—Intel® Trust Domain Extensions (Intel® TDX) menyediakan isolasi memori berbasis perangkat keras tanpa memerlukan perubahan kode pada aplikasi Anda. Topik ini menjelaskan cara membuat kelompok node berbasis VM rahasia Intel® TDX di kluster Alibaba Cloud Container Service for Kubernetes (ACK) serta cara men-deploy workload ke dalam kelompok tersebut.

Cara kerja

Intel® TDX adalah teknologi berbasis CPU yang menyediakan isolasi dan enkripsi berbantuan perangkat keras untuk instance ECS guna melindungi data waktu proses, seperti register CPU, data memori, dan injeksi interupsi. Teknologi ini mengurangi risiko akses tidak sah terhadap proses yang sedang berjalan atau data sensitif.

Kelompok node berbasis VM rahasia Intel® TDX terintegrasi dengan fitur penskalaan dan manajemen standar ACK. Anda dapat memigrasikan aplikasi yang sudah ada ke kelompok node yang diaktifkan TDX tanpa mengubah kode aplikasi.

Untuk informasi lebih lanjut tentang Intel® TDX, lihat Intel® Trust Domain Extensions (Intel® TDX).

Kasus penggunaan

Kelompok node VM rahasia Intel® TDX cocok untuk workload yang memerlukan isolasi data yang diberlakukan oleh perangkat keras:

Kontrol risiko keuangan: Lindungi pemrosesan transaksi dan data penilaian risiko saat runtime.
Privasi data kesehatan: Isolasi data pasien selama analisis dan inferensi.
Inferensi dan fine-tuning AI-Generated Content (AIGC) serta Large Language Model (LLM): Lindungi bobot model dan data pelatihan yang sedang digunakan.
Database rahasia penuh: Terapkan isolasi tingkat perangkat keras untuk proses database.
Aplikasi big data: Proses dataset sensitif dengan jaminan berbasis perangkat keras.

Diagram berikut menunjukkan bagaimana Intel® TDX dan Intel® Advanced Matrix Extensions (AMX) menyediakan keamanan ujung ke ujung untuk workload inferensi model.

Konfigurasi yang didukung

Batasan berikut berlaku untuk kelompok node VM rahasia TDX:

Konfigurasi	Nilai yang didukung
Wilayah	Tiongkok (Beijing) saja
Zona	Zona I
Tipe instans	ecs.g8i.xlarge atau lebih besar
Sistem operasi	Alibaba Cloud Linux 3.2104 LTS 64-bit
Tipe citra ECS	Confidential VM
Auto Scaling	Tidak dibahas dalam prosedur ini (dinonaktifkan secara default)

Untuk isu-isu yang diketahui dan batasan fungsionalitas tambahan, lihat Isu yang diketahui dan batasan fungsionalitas.

Prasyarat

Sebelum memulai, pastikan Anda telah memiliki:

Kluster ACK Pro di wilayah Tiongkok (Beijing). Untuk informasi lebih lanjut, lihat Buat kluster ACK yang dikelola.
Akses ke Konsol ACK dan Konsol ECS.

Langkah 1: Buat kelompok node

Masuk ke ACK console. Pada panel navigasi di sebelah kiri, klik Clusters.
Pada halaman Clusters, klik nama kluster target. Di panel navigasi kiri, pilih Nodes > Node Pools.
Di pojok kanan atas, klik Create Node Pool. Konfigurasikan parameter dalam tabel berikut, lalu klik Confirm Order. Di bawah Advanced Options (Optional), tambahkan label node untuk menyederhanakan penjadwalan Pod. Untuk deskripsi lengkap semua parameter kelompok node, lihat Buat dan kelola kelompok node.
Parameter Pengaturan
vSwitch Pilih vSwitch di Zone I
Auto Scaling Disabled (default)
Instance Type g8i.xlarge atau lebih besar
Expected Nodes 0 (default)
Operating System Alibaba Cloud Linux 3.2104 LTS 64-bit
Label key Label value
nodepool-label tdx-vm-pool

Parameter	Pengaturan
vSwitch	Pilih vSwitch di Zone I
Auto Scaling	Disabled (default)
Instance Type	g8i.xlarge atau lebih besar
Expected Nodes	0 (default)
Operating System	Alibaba Cloud Linux 3.2104 LTS 64-bit

Label key	Label value
`nodepool-label`	`tdx-vm-pool`

Langkah 2: Buat instance ECS yang diaktifkan TDX

Langkah-langkah untuk membuat instance ECS yang diaktifkan TDX mirip dengan pembuatan instance standar, dengan dua parameter yang berbeda. Untuk semua parameter lainnya, lihat Buat instance di tab Custom Launch.

Masuk ke Konsol ECS. Di panel navigasi kiri, pilih Instances & Images > Instances.
Di bilah navigasi atas, pilih wilayah dan kelompok sumber daya dari resource tersebut.

Klik Create Instance dan atur parameter berikut:

Parameter	Pengaturan
Network and zone	Pilih Beijing Zone I. Hanya tipe instans ecs.g8i.xlarge atau lebih besar yang didukung di zona ini.
Image	Pilih Confidential VM, lalu pilih Alibaba Cloud Linux 3.2104 LTS 64-bit.

Lengkapi konfigurasi yang tersisa sesuai petunjuk dan buat instance tersebut.

(Opsional) Langkah 3: Verifikasi status TDX pada instance ECS

Masuk ke instance ECS dan jalankan perintah berikut untuk memastikan bahwa TDX aktif.

Periksa apakah TDX diaktifkan:
```
lscpu | grep -i tdx_guest
```
Output berikut menunjukkan bahwa TDX diaktifkan.
Periksa apakah driver TDX terinstal:
```
ls -l /dev/tdx_guest
```
Output berikut menunjukkan bahwa driver TDX terinstal.

Langkah 4: Tambahkan instance ECS ke kelompok node

Di Konsol ACK, navigasi ke Clusters, lalu klik nama kluster. Di panel navigasi kiri, pilih Nodes > Node Pools.
Di kolom Actions kelompok node, pilih More > Add Existing Node.
Pada halaman Select Existing ECS Instance, atur Mode ke Auto, pilih instance ECS yang dibuat di Langkah 2, dan lengkapi konfigurasi sesuai petunjuk. Untuk detailnya, lihat Tambahkan instance ECS yang sudah ada.

Langkah 5: Deploy aplikasi

Deploy Pod ke kelompok node yang diaktifkan TDX. Bidang nodeSelector menargetkan label node yang ditambahkan di Langkah 1, sehingga memastikan Pod berjalan pada node yang diaktifkan TDX.

Gunakan Konsol ACK

Di Konsol ACK, navigasi ke Clusters, klik nama kluster, lalu pilih Workloads > Pods di panel navigasi kiri.

Di pojok kanan atas, klik Create from YAML. Atur Sample Template ke Custom, tempel YAML berikut, lalu klik Create.

apiVersion: v1
kind: Pod
metadata:
  labels:
    name: pod-tdx-vm
  name: pod-tdx-vm
spec:
  containers:
    - image: alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
      name: hello
      command:
      - sh
      - -c
      - 'echo hello && sleep infinity'
  nodeSelector:    # Menjadwalkan Pod ke node yang diaktifkan TDX
    nodepool-label: tdx-vm-pool

Pada halaman Pods, pastikan status Pod adalah Running.

Gunakan kubectl

Sambungkan klien kubectl ke kluster. Untuk informasi lebih lanjut, lihat Sambungkan ke kluster ACK melalui kubectl.

Buat file bernama pod-tdx-vm.yaml dengan konten berikut:

apiVersion: v1
kind: Pod
metadata:
  labels:
    name: pod-tdx-vm
  name: pod-tdx-vm
spec:
  containers:
    - image: alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:latest
      name: hello
      command:
      - sh
      - -c
      - 'echo hello && sleep infinity'
  nodeSelector:    # Menjadwalkan Pod ke node yang diaktifkan TDX
    nodepool-label: tdx-vm-pool

Deploy Pod tersebut:
```
kubectl apply -f pod-tdx-vm.yaml
```
Verifikasi bahwa Pod sedang berjalan:
```
kubectl get pod pod-tdx-vm
```
Output yang diharapkan:
```
NAME         READY   STATUS    RESTARTS   AGE
pod-tdx-vm   1/1     Running   0          52s
```
Status Running dengan kontainer siap 1/1 mengonfirmasi bahwa aplikasi telah dideploy di kelompok node yang diaktifkan TDX.

Container Service for Kubernetes:Buat kelompok node VM rahasia TDX di kluster ACK