All Products
Search

This Product

    Elastic Compute Service:Menggunakan instans terpercaya

    Document Center

    Elastic Compute Service:Menggunakan instans terpercaya

    Last Updated:Jul 02, 2025

    Topik ini menjelaskan cara menggunakan dan memelihara instans terpercaya yang didasarkan pada Modul Platform Tepercaya virtual (vTPM). Anda dapat mencari instans terpercaya, melihat status terpercaya dari instans tersebut, serta menangani status instans yang abnormal.

    Lihat status terpercaya dari sebuah instans

    Patokan pengukuran integritas dihasilkan saat instans dibuat. Nilai pengukuran yang dikumpulkan pada boot instans berikutnya dibandingkan dengan nilai patokan untuk menentukan apakah instans telah berubah. Hasil perbandingan menunjukkan status terpercaya dari instans dan ditampilkan di konsol Security Center.

    1. Buka Konsol ECS - Instans.

    2. Di bilah navigasi atas, pilih wilayah dan grup sumber daya dari sumber daya yang ingin Anda kelola. 地域

    3. Pada halaman Instans, klik Filter by Tag dan pilih acs:ecs:supportVtpm untuk mencari instans terpercaya.

      image.png

    4. Temukan instans terpercaya yang ingin Anda lihat dan klik ikon image.png di kolom Operating System.

      Anda akan diarahkan ke halaman Host di konsol Security Center.

    5. Klik tab Trusted information untuk melihat status terpercaya dari instans.

      可信信息

      Lingkaran-lingkaran di bagian ① Asset startup overview dipetakan dengan komponen-komponen yang terdaftar di bagian ② Trusted Status of components in assets. Warna setiap lingkaran di bagian ① Asset startup overview menunjukkan apakah tahap yang sesuai normal:

      • Jika semua lingkaran berwarna hijau, proses boot instans normal. Dalam kasus ini, nilai-nilai di kolom Actual measure (status aktual yang dikumpulkan oleh Sistem Tepercaya Alibaba Cloud) sama dengan yang ada di kolom Standard value.

      • Jika terjadi kesalahan pada satu tahap selama proses boot instans, lingkaran yang sesuai berubah menjadi merah dan yang mengikutinya menjadi abu-abu. Anda dapat melihat informasi rinci tentang tahap tersebut di tab Alerts dan memperbaiki pengecualian. Untuk informasi lebih lanjut, lihat bagian Menangani Pengecualian Kepercayaan dari topik ini.

      Catatan

      Jika pesan kesalahan serupa dengan "your device is in the unmeasured state" ditampilkan di tab Trusted information, itu menunjukkan bahwa instans terpercaya belum melaporkan pengukuran yang valid untuk waktu yang lama. Dalam kasus ini, tidak ada informasi kepercayaan rinci tentang instans yang ditampilkan di konsol Security Center. Untuk informasi tentang cara menyelesaikan masalah ini, lihat bagian Menangani Keadaan Tidak Terukur dari topik ini.

      Platform Configuration Registers (PCR) adalah unit penyimpanan perangkat keamanan tepercaya yang mampu menyimpan secara andal informasi status yang dikumpulkan selama proses boot instans. Setiap PCR sesuai dengan tahap tertentu dari proses boot instans dan nilai PCR mewakili status objek yang diukur pada tahap tersebut. Jika nilai pengukuran aktual yang disimpan di PCR sama dengan nilai standar yang diharapkan, tahap tersebut dianggap sesuai harapan. Objek-objek berikut diukur di setiap tahap proses boot instans:

      • pcr0: Static Root of Trust for Measurements (SRTM), BIOS, embedded option ROM, dan PI driver.

      • pcr1: konfigurasi platform host.

      • pcr2: Unified Extensible Firmware Interface (UEFI) driver dan kode aplikasi.

      • pcr3: UEFI driver, konfigurasi aplikasi, dan data aplikasi.

      • pcr4: kode manajemen boot UEFI (biasanya MBR).

      • pcr5: kode manajemen boot UEFI (biasanya MBR), data terkait boot (data yang digunakan oleh kode manajemen boot UEFI), dan tabel partisi GUID Partition Table (GPT).

      • pcr6: firmware UEFI spesifik yang didefinisikan oleh produsen platform.

      • pcr7: kebijakan boot aman.

      • pcr8: perintah penting yang harus dijalankan seperti yang disediakan dalam file konfigurasi seperti grub.cfg dan informasi baris perintah yang dikirim ke kernel Linux. Perintah non-kritis tidak diukur, seperti perintah yang digunakan untuk mendefinisikan judul menu boot.

      • pcr9: GRand Unified Bootloader (GRUB) modul, kernel Linux, dan initramfs.

      Catatan

      ISO memberikan definisi rinci. Untuk informasi lebih lanjut, lihat ISO/IEC 11889:2015 Trusted Platform Module Library.

    Menangani pengecualian kepercayaan

    Jika terjadi kesalahan pada satu tahap selama proses boot instans, lingkaran yang sesuai di tab Trusted information berubah menjadi merah. Anda harus pergi ke tab Alerts untuk melihat informasi peringatan rinci dan memperbaiki pengecualian.

    1. Klik tab Alerts dan atur Alert type ke Trusted exception.

      image.png

    2. Di sisi kanan informasi peringatan, klik Details untuk melihat informasi kesalahan rinci.

      Catatan

      Jika peringatan tidak ditangani, peringatan tersebut akan diangkat secara berkala, tetapi tidak ada peringatan baru yang dihasilkan untuk pengecualian tersebut. Hanya waktu terakhir kali peringatan terjadi yang ditampilkan di kolom Last Occurred At.

    3. Hubungi administrator sistem untuk memeriksa apakah operasi pemutakhiran dan pemeliharaan sistem telah dilakukan baru-baru ini, seperti meningkatkan kernel sistem operasi, mengubah parameter boot sistem operasi, dan memodifikasi file sistem awal (initramfs). Kemudian, ambil langkah-langkah yang berbeda untuk memperbaiki pengecualian berdasarkan situasi sebenarnya.

      • Skenario 1: Jika tidak ada operasi pemutakhiran atau pemeliharaan sistem yang dilakukan baru-baru ini, abaikan peringatan setelah Anda memeriksa dan memperbaiki pengecualian.

        Dalam skenario ini, peringatan mungkin terjadi karena adanya peristiwa keamanan pada instans Anda. Misalnya, instans rusak oleh malware, seperti rootkit atau bootkit. Kami merekomendasikan agar Anda menghubungi administrator sistem untuk melakukan pemeriksaan mendalam pada instans, memperbaiki pengecualian, dan kemudian mengabaikan peringatan. Lakukan langkah-langkah berikut:

        1. Aktifkan dan gunakan fitur Anti-Virus dan Vulnerabilities di konsol Security Center. Kemudian, tingkatkan perpustakaan virus ke versi terbaru, periksa malware di sistem, dan perbaiki kerentanan atau hapus malware.

        2. Di tab Alerts, klik Handle.

        3. Pilih Ignore dan klik Immediate processing.

          Jika peringatan dihasilkan pada beberapa instans, Anda dapat memilih Handle the same alarms at the same time untuk menangani peringatan yang sama pada instans sekaligus.

          Penting

          Peringatan yang ignored masih ditampilkan di tab Trusted information. Peringatan yang diabaikan terus dihasilkan karena Security Center secara berkala menghasilkan peringatan keamanan. Situasi ini berlanjut sampai Anda me-restart instans dan lolos verifikasi.

      • Skenario 2: Jika operasi pemutakhiran atau pemeliharaan sistem telah dilakukan baru-baru ini, tambahkan daftar putih setelah Anda memeriksa dan memperbaiki pengecualian.

        Jika operasi pemutakhiran atau pemeliharaan sistem telah dilakukan baru-baru ini, status sistem setelah pemutakhiran atau pemeliharaan menjadi status patokan baru sistem Anda. Nilai status setiap tahap selama proses boot instans juga menjadi nilai patokan baru dari PCR yang sesuai. Dalam kasus ini, Anda harus memilih Add whitelist.

        Setelah nilai pengukuran aktual yang dikumpulkan ditambahkan ke daftar putih, nilai-nilai tersebut menjadi nilai pengukuran patokan baru.

    Menangani keadaan tidak terukur

    Jika pesan kesalahan serupa dengan "your device is in the unmeasured state" ditampilkan di tab Trusted information, itu menunjukkan bahwa instans terpercaya belum melaporkan pengukuran yang valid untuk waktu yang lama. Dalam banyak kasus, situasi ini terjadi karena klien tepercaya tidak dapat mengakses layanan Sistem Tepercaya. Anda dapat melakukan langkah-langkah berikut untuk mendiagnosis masalah:

    1. Periksa peran RAM akses sumber daya instans dari instans terpercaya.

      • Jika Anda belum melampirkan peran RAM instans ke instans terpercaya, lampirkan peran RAM instans yang diperlukan ke instans.

      • Jika Anda telah melampirkan peran RAM instans ke instans terpercaya, periksa apakah peran RAM instans memiliki akses ke layanan Sistem Tepercaya. Untuk informasi lebih lanjut, lihat Buat Instans Terpercaya.

    2. Periksa konektivitas jaringan.

      Jalankan perintah berikut di instans terpercaya untuk memeriksa konektivitas jaringan:

      ping trusted-server-vpc.<region-id>.aliyuncs.com

      Ganti <region-id> dengan ID wilayah dari instans terpercaya. Jika output perintah dikembalikan, itu menunjukkan bahwa konektivitas jaringan baik.

    3. Periksa pengaturan grup keamanan.

      Periksa pengaturan grup keamanan yang terkait dengan instans terpercaya dan pastikan grup keamanan tidak menolak akses ke trusted-server-vpc.[region-id].aliyuncs.com.

    4. Periksa status klien.

      Jalankan perintah systemctl status t-trustclient untuk memeriksa status klien. Jika klien tidak dalam keadaan running, jalankan perintah systemctl restart t-trustclient untuk me-restart klien.