Container Service for Kubernetes (ACK) は、インテル ソフトウェア・ガード・エクステンションズ (Intel SGX) ハードウェア暗号化を基盤とするマネージド型コンフィデンシャルコンピューティングプラットフォームを提供します。Trusted Execution Environment (TEE) 内でワークロードを実行することで、機密性の高いデータおよびコードを不正アクセスから保護できます。
コンフィデンシャルコンピューティングクラスターは、ブロックチェーンや鍵管理など、厳格なセキュリティ要件を持つワークロード向けに設計されています。
前提条件
作業を開始する前に、以下の条件を満たしていることを確認してください。
ACK は有効化され、他のクラウドリソースにアクセスすることが承認されています。 詳細については、「ACK を有効化して権限を付与する」をご参照ください。
制限事項
| リソース | 制約 | 参照 |
|---|---|---|
| ネットワーク | ACK クラスターは Virtual Private Cloud (VPC) ネットワークのみをサポートします。 | VPC とは |
| Elastic Compute Service (ECS) 課金 | 従量課金およびサブスクリプションの課金方法がサポートされています。インスタンス作成後、ECS コンソールで課金方法を従量課金からサブスクリプションに変更できます。 | ECS インスタンスの課金方法を従量課金からサブスクリプションに変更 |
| VPC ルートエントリ | Flannel を使用する VPC では、デフォルトで最大 200 件のルートエントリを追加できます。Terway を使用する VPC にはこの制限が適用されません。さらに多くのルートエントリを追加する場合は、クォータの増量をリクエストしてください。 | クォータセンター |
| セキュリティグループ | 各アカウントで作成できるセキュリティグループは、デフォルトで最大 100 個です。 | リソースクォータの表示と引き上げ |
| Server Load Balancer (SLB) インスタンス | 各アカウントで作成できる従量課金 SLB インスタンスは、デフォルトで最大 60 個です。 | クォータセンター |
| Elastic IP Address (EIP) | 各アカウントで作成できる EIP は、デフォルトで最大 20 個です。 | クォータセンター |
コンフィデンシャルコンピューティングクラスターの作成
ACK コンソールにログインします。左側のナビゲーションウィンドウで [クラスター] をクリックします。
[クラスターテンプレート] をクリックし、[マネージドクラスター] エリアで [コンフィデンシャルコンピューティングクラスター] を選択して、[作成] をクリックします。
[ACK マネージドクラスター] タブで、次のパラメーターを設定します。 コンフィデンシャルコンピューティングを有効にするには、次の表に記載されているパラメーターを設定します。 そうしないと、作成されたクラスターは Intel SGX アプリケーションを実行できません。 すべてのクラスター設定オプションの詳細については、「ACK マネージドクラスターの作成」をご参照ください。
Intel Ice Lake プロセッサーは、Intel SGX Data Center Attestation Primitives (SGX DCAP) を介したリモートアテステーションのみをサポートします。Intel Enhanced Privacy Identification (EPID) に基づくリモートアテステーションはサポートされていません。アプリケーションをデプロイする前に、SGX DCAP を使用するように適応させてください。詳細については、「Intel アテステーションサービス」をご参照ください。
パラメーター 説明 Confidential Computing このオプションは、Confidential Computing クラスターテンプレートを使用する際に事前に選択済みです。有効なままにしてください。 ゾーン セキュリティ強化型インスタンスファミリー(セキュリティ強化型コンピュート最適化タイプ c7t、セキュリティ強化型汎用タイプ g7t、セキュリティ強化型メモリ最適化タイプ r7t)をサポートするゾーンを選択します。すべてのゾーンでこれらのインスタンスファミリーが利用可能というわけではありません。対象リージョンにおける可用性を確認するには、「リージョンごとの利用可能なインスタンスタイプ」をご参照ください。 コンテナーランタイム containerd バージョン 1.4.4 以降を選択してください。 インスタンスタイプ 以下のインスタンスファミリーのいずれかからインスタンスタイプを選択します:セキュリティ強化型コンピュート最適化タイプ c7t、セキュリティ強化型汎用タイプ g7t、またはセキュリティ強化型メモリ最適化タイプ r7t。これらのファミリーは、SGX 対応の Intel Xeon(Ice Lake)Platinum 8369B プロセッサを採用しています。 オペレーティングシステム Alibaba Cloud Linux 2.xxxx 64 ビット (UEFI) を選択してください。 ネットワークプラグイン Flannel を選択してください。Flannel は、Confidential Computing クラスターでサポートされる唯一のネットワークプラグインです。 画面の指示に従って残りの構成を完了し、利用規約を読み、同意したうえで [クラスターの作成] をクリックします。
結果の確認
[クラスターの作成] をクリックすると、クラスターのプロビジョニングが開始されます。複数ノードを含むクラスターの作成には、約 10 分かかります。
クラスターの準備状況を確認するには、以下の手順を実行します。
ACK コンソールで、左側のナビゲーションウィンドウの [クラスター] をクリックします。
一覧からご利用のクラスターを見つけます。クラスターステータスが [実行中] に変わると、クラスターの使用準備が整います。
次のステップ
機密コンピューティング対応ノードプールの追加: TEE ベースの機密コンピューティングがデフォルトで有効な専用ノードプールを追加します。詳細については、「機密コンピューティングをサポートするノードプールを作成する」をご参照ください。
SGX 2.0 アプリケーションの開発およびデプロイ: TEE-SDK を使用して、機密コンピューティング クラスター上で Intel SGX 2.0 アプリケーションを構築およびデプロイします。詳細については、「TEE SDK を使用した Intel SGX 2.0 アプリケーションの開発およびビルド」をご参照ください。
TDX 機密 VM の有効化: Trust Domain Extensions (TDX) 機密 VM をサポートするノードプールを作成し、既存のクラスターに TDX ベースの機密コンピューティングを追加します。詳しくは、「TDX 機密 VM をサポートするノードプールの作成」をご参照ください。
CPU アクセラレーションによる Stable Diffusion の実行: g8i CPU インスタンスを使用して、GPU 並みのパフォーマンスで Stable Diffusion XL Turbo モデルを実行します。詳細については、「CPU アクセラレーションを使用して、テキストから画像への推論用の Stable Diffusion XL Turbo モデルを高速化する」をご参照ください。