Upravit

Nejčastější dotazy týkající se důvěrných výpočetních uzlů ve službě Azure Kubernetes Service (AKS)

  • Časté otázky

Tento článek se zabývá častými dotazy k důvěrným výpočetním uzlům založeným na Intel SGX ve službě Azure Kubernetes Service (AKS). Pokud máte další otázky, pošlete e-mail acconaks@microsoft.com.

Produkt

Jsou důvěrné výpočetní uzly v AKS dostupné pro produkční použití?

Ano, pro uzly enklávy Intel SGX.

Můžu povolit akcelerované síťové služby s využitím důvěrných výpočetních clusterů AKS Azure?

Ano, uzly virtuálních počítačů DCSv3 podporují akcelerované síťové služby. Virtuální počítače DCSv2 ne.

Jaká verze ovladače Intel SGX je na imagi AKS pro důvěrné uzly?

V současné době se virtuální počítače DCSv2/DCSv3 pro důvěrné výpočetní operace Azure instalují s Intel SGX DCAP 1.33.2.

Můžu do uzlů zřízených službou AKS vložit skripty po instalaci nebo přizpůsobit ovladače?

Č. Důvěrné výpočetní uzly založené na modulu AKS podporují důvěrné výpočetní uzly, které umožňují vlastní instalace a mají plnou kontrolu nad řídicí rovinou Kubernetes.

Můžu spouštět uzly ACC s jinými standardními skladovými položkami AKS (vytvořit heterogenní cluster fondu uzlů)?

Ano, můžete spustit různé fondy uzlů ve stejném clusteru AKS včetně uzlů ACC. Pokud chcete cílit na aplikace enklávy v konkrétním fondu uzlů, zvažte přidání selektorů uzlů nebo použití limitů EPC. Další podrobnosti o rychlém startu na důvěrných uzlech najdete tady.

Můžu spouštět uzly Windows a kontejnery Windows pomocí ACC?

V tuto chvíli to není možné. Pokud máte uzly Windows nebo kontejnery, obraťte se na acconaks@microsoft.com produktový tým.

Můžu stále plánovat a spouštět kontejnery bez enklávy na důvěrných výpočetních uzlech?

Ano. Virtuální počítače mají také běžnou paměť, která může spouštět standardní úlohy kontejnerů. Než se rozhodnete o modelech nasazení, zvažte zabezpečení a model hrozeb vašich aplikací.

Jaká je skladová položka virtuálního počítače, kterou mám zvolit pro důvěrné výpočetní uzly?

SKU DCSv2/DCsv3. Další informace o DCSv2 a DCSv3 jsou k dispozici v podporovaných oblastech.

Můžu zřídit AKS s fondy uzlů DCSv2 prostřednictvím webu Azure Portal?

Ano. Azure CLI je také možné použít jako alternativu, jak je uvedeno tady.

Jakou verzi Ubuntu a generování virtuálního počítače se podporuje?

18.04. 2.

Jaká jsou známá aktuální omezení produktu?

  • Podporuje pouze uzly virtuálních počítačů Ubuntu 18.04 Gen2.
  • Podpora uzlů Windows ani podpora kontejnerů Windows
  • Horizontální automatické škálování podů založené na paměti EPC se nepodporuje. Podporuje se procesor a běžné škálování na základě paměti.
  • Dev Spaces v AKS pro důvěrné aplikace se v současné době nepodporují.

Můžu zřídit AKS s fondy uzlů DCSv2/DCSv3 prostřednictvím webu Azure Portal?

Ano. Azure CLI je také možné použít jako alternativu, jak je uvedeno tady.

Vývoj a nasazení

Můžu si přenést existující kontejnerizované aplikace a spustit je v AKS pomocí služby Azure Confidential Computing?

Ano, přineste software obálky SGX ke spuštění v enklávě Intel SGX, přečtěte si stránku s důvěrnými kontejnery, kde najdete další podrobnosti o povolení platformy.

Mám k zahájení práce s aplikacemi enklávy používat základní image Dockeru?

Různé povolení (nezávislé výrobce softwaru a projekty operačního systému) poskytují způsoby, jak povolit důvěrné kontejnery. Další podrobnosti a jednotlivé odkazy na implementace najdete na stránce důvěrných kontejnerů.

Důvěrné koncepty kontejnerů

Co je ověření identity a jak můžeme provést ověření aplikací běžících v enklávách?

Ověření identity je proces předvedení a ověření, že část softwaru byla správně vytvořena na konkrétní hardwarové platformě. Zajišťuje také, že jeho důkazy jsou ověřitelné, aby poskytovaly záruky, že běží na zabezpečené platformě a nebyly manipulovány. Přečtěte si další informace o tom, jak se ověření provádí pro aplikace enklávy.

Co když je velikost kontejneru větší než dostupná paměť EPC?

Paměť EPC se vztahuje na část vaší aplikace, která je naprogramovaná tak, aby se prováděla v enklávě. Celková velikost kontejneru není správným způsobem, jak ho porovnat s maximální dostupnou pamětí EPC. Ve skutečnosti umožňují počítače DCSv2 s SGX maximální paměť virtuálního počítače o velikosti 32 GB, kde by vaše nedůvěryhodná část aplikace využívala. Pokud ale váš kontejner spotřebovává více než dostupnou paměť EPC, může to mít vliv na výkon části programu spuštěného v enklávě.

Pokud chcete lépe spravovat paměť EPC v pracovních uzlech, zvažte správu limitů založených na paměti EPC prostřednictvím Kubernetes. Jako referenci použijte následující příklad.

Poznámka:

Následující příklad načítá image veřejného kontejneru z Docker Hubu. Doporučujeme nastavit tajný kód pro přijetí změn pro ověření pomocí účtu Docker Hubu místo vytvoření anonymní žádosti o přijetí změn. Pokud chcete zvýšit spolehlivost při práci s veřejným obsahem, naimportujte a spravujte image v privátním registru kontejneru Azure. Přečtěte si další informace o práci s veřejnými imagemi.

apiVersion: batch/v1
kind: Job
metadata:
  name: sgx-test
  labels:
    app: sgx-test
spec:
  template:
    metadata:
      labels:
        app: sgx-test
    spec:
      containers:
      - name: sgxtest
        image: oeciteam/sgx-test: 1.0
        resources:
          limits:
            sgx.intel.com/sgx_epc_mem_in_MiB: 10 # This limit will automatically place the job into confidential computing node. Alternatively, you can target deployment to node pools
      restartPolicy: Never
  backoffLimit: 0

Co se stane, když enkláva spotřebovává více než maximální dostupnou paměť EPC?

Celková dostupná paměť EPC se sdílí mezi aplikacemi enklávy ve stejných virtuálních počítačích nebo pracovních uzlech. Pokud vaše aplikace používá více paměti EPC, než je k dispozici, může to mít vliv na výkon aplikace. Z tohoto důvodu doporučujeme nastavit tolerance pro každou aplikaci v souboru yaml nasazení, abyste mohli lépe spravovat dostupnou paměť EPC na pracovní uzly, jak je znázorněno v příkladech výše. Alternativně se můžete kdykoli rozhodnout přejít na velikosti virtuálníchpočítačůch

Proč nemůžu forky () a exec spustit více procesů v aplikaci enklávy?

Virtuální počítače SKU DCSv2 pro důvěrné výpočetní operace Azure v současné době podporují jeden adresní prostor pro program spuštěný v enklávě. Jedním procesem je aktuální omezení navržené kolem vysokého zabezpečení. Povolení důvěrných kontejnerů ale může mít alternativní implementace, které toto omezení překonají.

Musím připojit svazky ovladačů v yaml nasazení?

Č. Produkt poskytuje doplněk ACC, který obsahuje (confcom), vám s tím pomůže. Další informace o nasazení najdete tady.

Můžeme změnit aktuální verzi diver Intel SGX DCAP v AKS?

Č. Pokud chcete provádět vlastní instalace, doporučujeme zvolit nasazení pracovních uzlů důvěrného výpočetního procesu modulu AKS.

Budou se do enklávy pro důvěrné výpočty načítat jenom podepsané a důvěryhodné image?

Ne nativně během inicializace enklávy, ale ano prostřednictvím podpisu procesu ověření identity lze ověřit. Tady je odkaz.

Je podepisování kontejnerů možné přenést ochranu integrity kódu do důvěrných kontejnerů?

Důvěrné kontejnery umožňují podepsat kód enklávy, ale ne samotný kontejner Dockeru. Při podepisování kódu enklávy (což je obvykle základní kód aplikace v Javě, Pythonu atd.), můžete ověřit ověřením podrobností mrsigner kódu enklávy, než budete moct důvěřovat kódu a spouštěcímu prostředí prostřednictvím toku ověření identity.

Další kroky

Další podrobnosti o důvěrných kontejnerech najdete na stránce s důvěrnými kontejnery.