加密計算將敏感性資料和代碼置於一個基於硬體的可信執行環境(TEE)中運行。這能保護資料在處理過程中的安全,防止被惡意窺探或竊取,是保護“使用中”資料的關鍵技術,適用於區塊鏈、密鑰管理等對安全有極高要求的業務。如需啟用該能力,可建立加密計算叢集及加密計算節點池,使其具備同樣的安全防護等級。
ACK-TEE 機密計算是ACK基於Intel SGX2.0構建的雲原生機密計算平台,保護資料使用中的安全性、完整性和機密性。它將重要資料和代碼鎖入可信執行環境(Trusted Execution Environment,TEE)。其他應用、BIOS、OS、Kernel、管理員、營運人員、雲廠商,乃至CPU以外的所有硬體,無法觸及其中的資料。風險因此降低,控制權回到您手中。
準備工作
瞭解使用限制
使用限制
限制項
說明
配額申請連結/相關文檔
網路
ACK叢集僅支援Virtual Private Cloud。
雲資源
ECS執行個體
支援隨用隨付、訂用帳戶和搶佔式執行個體三種付費類型。執行個體建立後,您可以通過ECS管理主控台將隨用隨付轉預付費。
VPC路由條目
每個賬戶初始預設狀況下VPC路由條目不超過200條,當ACK叢集的網路模式是Flannel時,叢集的路由條目最大不能超過200個(網路模式是Terway則不受該影響)。如叢集需要更多路由條目數,您需要對目標VPC申請提高配額 。
安全性群組
每個帳號預設最多可以建立100個安全性群組。
Server Load Balancer執行個體
每個帳號預設最多可以建立60個隨用隨付的Server Load Balancer執行個體。
EIP
每個帳號預設最多可以建立20個EIP。
步驟一:建立加密計算叢集
-
登入Container Service管理主控台,在左側導覽列選擇叢集列表。
單擊叢集模板,選擇加密計算託管叢集,並單擊建立。
在ACK 託管叢集頁面,按照頁面提示完成叢集的配置。
下表介紹加密計算叢集的主要配置項。詳見ACK託管叢集配置項說明。
配置項
說明
加密計算
開啟叢集的加密計算能力。
可用區
目前僅規格族為安全增強計算型c7t、安全增強通用型g7t、安全增強記憶體型r7t的執行個體規格支援加密計算叢集,請確保所選可用性區域包含這些執行個體規格。詳見ECS執行個體規格可購買地區總覽。
本步驟跳過節點池建立。如需瞭解加密計算節點池的主要配置項,可參見下文步驟二:建立加密計算節點池。
步驟二:建立加密計算節點池
-
在ACK叢集列表頁面,單擊目的地組群名稱,在叢集詳情頁左側導覽列,選擇。
單擊建立節點池,按照頁面提示完成節點的建立。
以下僅介紹加密計算節點池的主要配置項。詳細配置項說明,請參見建立節點池。
配置項
描述
加密計算
啟用加密計算。
容器運行時
僅支援containerd。
擴縮容模式
開啟後,節點池會根據資源使用自動彈性擴容節點。
執行個體相關的配置項
選擇規格類型系列為安全增強計算型c7t、安全增強通用型g7t、安全增強記憶體型r7t。
選擇的安全增強執行個體採用了更新的硬體安全驗證技術。其遠程證明功能僅支援新一代的 DCAP 方式,不再相容舊的 EPID 方式。如您的應用仍基於EPID 開發,則需修改代碼以適配 DCAP。
期望節點數
設定節點池初始節點數量。如無需建立節點,可填寫為0。
作業系統
叢集版本為1.30及以上: 支援Alibaba Cloud Linux 3.2104 LTS 64位 容器最佳化版、Alibaba Cloud Linux 3.2104 LTS 64位。
叢集版本為1.30以下:僅支援Alibaba Cloud Linux 2.xxxx 64位UEFI版。
節點標籤(Labels)
為叢集節點添加標籤。
ECS 標籤
為ECS執行個體添加標籤。
建立完成後,節點池的狀態顯示為已啟用。
後續操作
部署完成後,可參見通過SDK開發和構建SGX2.0應用基於TEE-SDK開發、構建並部署一個SGX2.0樣本應用。