Sdílet prostřednictvím

Konfigurace zabezpečení virtuálního počítače

  • Článek

CycleCloud 8.5 podporuje vytváření virtuálních počítačů s typem zabezpečení Důvěryhodné spuštění nebo Důvěrné.

Poznámka

Používání těchto funkcí může mít určitá omezení, mezi která patří nepodporování zálohování, spravovaných disků a dočasných disků s operačním systémem. Kromě toho vyžadují specifické image a velikosti virtuálních počítačů. Další informace najdete v dokumentaci výše.

Tyto funkce je možné upravit ve formuláři clusteru nebo nastavit přímo v šabloně clusteru.

Primární atribut, který to umožňuje, je SecurityType, který může být TrustedLaunch nebo ConfidentialVM. Pokud například chcete, aby každý virtuální počítač v clusteru používal ve výchozím nastavení důvěryhodné spuštění, přidejte do šablony toto:

[[node defaults]]
# Start VMs with TrustedLaunch 
SecurityType = TrustedLaunch

Standardní zabezpečení je výchozí, takže ho není nutné zadávat. Pokud jste pro cluster zadali hodnotu SecurityType a naimportovali ho, můžete tuto čáru jednoduše okomentovat nebo odebrat a opětovným importem clusteru tuto hodnotu odebrat. Pokud nastavíte hodnotu pro defaults a chcete použít standardní zabezpečení jen pro určitý konkrétní uzel, můžete hodnotu undefined() přepsat hodnotou (všimněte si použití := , abyste povolili striktní analýzu hodnoty):

[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()

Použití důvěryhodných nebo důvěrných virtuálních počítačů umožňuje další funkce zabezpečení. Obě mají výchozí hodnotu true:

  • EnableSecureBoot=true: Používá zabezpečené spouštění, které pomáhá chránit virtuální počítače před spouštěcími sadami, rootkity a malwarem na úrovni jádra.

  • EnableVTPM=true: Používá modul Virtual Trusted Platform Module (vTPM), který je kompatibilní s čipem TPM2.0 a ověřuje integritu spouštění virtuálního počítače kromě bezpečného ukládání klíčů a tajných klíčů.

Poznámka

Tyto atributy nemají žádný vliv na výchozí typ zabezpečení Standard.

Důvěrné virtuální počítače navíc umožňují nové schéma šifrování disků. Toto schéma chrání všechny důležité oddíly disku a zpřístupňuje obsah chráněného disku pouze virtuálnímu počítači. Podobně jako u šifrování Server-Side jsou výchozím nastavením klíče spravované platformou , ale místo toho můžete použít klíče spravované zákazníkem . Použití Customer-Managed klíčů pro důvěrné šifrování vyžaduje sadu šifrování disku , jejíž typ šifrování je ConfidentialVmEncryptedWithCustomerKey. Další informace najdete v tématu Šifrování disků .