Ez a cikk az Azure Kubernetes Service (AKS) Intel SGX-alapú bizalmas számítási csomópontjaival kapcsolatos gyakori kérdésekre ad választ. Ha további kérdései vannak, küldjön e-mailt acconaks@microsoft.com.
Termék
Elérhetők az AKS bizalmas számítási csomópontjai éles használatra?
Igen, Intel SGX enklávécsok esetén.
Engedélyezhetem a gyorsított hálózatkezelést az Azure bizalmas számítási AKS-fürtökkel?
Igen, a DCSv3 virtuálisgép-csomópontok támogatják a gyorsított hálózatkezelést. A DCSv2 virtuális gépek nem.
Az Intel SGX-illesztőprogram melyik verziója található a bizalmas csomópontok AKS-rendszerképén?
Jelenleg az Azure confidential computing DCSv2/DCSv3 virtuális gépek intel SGX DCAP 1.33.2-vel vannak telepítve
Beszúrhatom a telepítés utáni szkripteket/testre szabhatom az illesztőprogramokat az AKS által kiépített csomópontokra?
Nem. Az AKS-motoralapú bizalmas számítási csomópontok olyan bizalmas számítási csomópontokat támogatnak, amelyek lehetővé teszik az egyéni telepítéseket, és teljes körű vezérléssel rendelkeznek a Kubernetes vezérlősíkja felett.
Futtathatok ACC-csomópontokat más szabványos AKS-termékváltozatokkal (heterogén csomópontkészlet-fürtöt hozhatok létre)?
Igen, különböző csomópontkészleteket futtathat ugyanabban az AKS-fürtben, beleértve az ACC-csomópontokat is. Ha egy adott csomópontkészlet enklávéalkalmazásait meg szeretné célozni, fontolja meg a csomópontválasztók hozzáadását vagy az EPC-korlátok alkalmazását. A bizalmas csomópontok gyors üzembe helyezéséről itt olvashat bővebben.
Futtathatok Windows-csomópontokat és Windows-tárolókat az ACC használatával?
Jelenleg nem. Ha Windows-csomópontokra vagy tárolóra van szüksége, lépjen kapcsolatba a termékcsapattal acconaks@microsoft.com .
Ütemezhetek és futtathatok nem enklávé tárolókat bizalmas számítási csomópontokon?
Igen. A virtuális gépek normál memóriával is rendelkeznek, amely szabványos tárolóterheléseket futtathat. Mielőtt eldöntené az üzembehelyezési modelleket, fontolja meg az alkalmazások biztonsági és fenyegetési modelljét.
Milyen virtuálisgép-termékváltozatot válasszak a bizalmas számítási csomópontok számára?
DCSv2/DCsv3 termékváltozatok. További információ a DCSv2-ről és a DCSv3-ról a támogatott régiókban
Kiépíthetim az AKS-t DCSv2 csomópontkészletekkel az Azure Portalon keresztül?
Igen. Az Azure CLI az itt dokumentált alternatívaként is használható.
Milyen Ubuntu-verzió és virtuálisgép-generáció támogatott?
18.04 a Gen 2-en.
Mik a termék ismert jelenlegi korlátozásai?
- Csak az Ubuntu 18.04 Gen 2 virtuálisgép-csomópontokat támogatja
- A Windows-csomópontok nem támogatják vagy nem támogatják a Windows-tárolókat
- Az EPC memóriaalapú vízszintes pod automatikus skálázása nem támogatott. A processzor- és a rendszeres memóriaalapú skálázás támogatott.
- A bizalmas alkalmazásokhoz készült AKS-en futó Dev Spaces jelenleg nem támogatott
Kiépíthetim az AKS-t a DCSv2/DCSv3 csomópontkészletekkel az Azure Portalon keresztül?
Igen. Az Azure CLI az itt dokumentált alternatívaként is használható.
Fejlesztés és üzembe helyezés
Használhatom a meglévő tárolóalapú alkalmazásaimat, és futtathatom az AKS-en az Azure Confidential Computing használatával?
Igen, az SGX burkolószoftvert intel SGX-enklávéban futtathatja, a bizalmas tárolók oldalán további részleteket talál a platform engedélyezőiről.
Docker-alaprendszerképet kell használnom az enklávéalkalmazások használatának megkezdéséhez?
A különböző engedélyezők (ISV-k és OSS-projektek) lehetővé teszik a bizalmas tárolók engedélyezését. További részletekért és a megvalósításokra vonatkozó egyedi hivatkozásokért tekintse át a bizalmas tárolók oldalt .
Bizalmas tárolók fogalmai
Mi az igazolás, és hogyan végezhetjük el az enklávékban futó alkalmazások igazolását?
Az igazolás azt mutatja be és ellenőrzi, hogy egy szoftver megfelelően lett-e példányosítva az adott hardverplatformon. Azt is biztosítja, hogy bizonyítékai ellenőrizhetők, és garantálja, hogy biztonságos platformon fut, és nem módosították. További információ arról, hogyan történik az igazolás az enklávéalkalmazások esetében.
Mi a teendő, ha a tároló mérete meghaladja a rendelkezésre álló EPC-memóriát?
Az EPC-memória az alkalmazásnak az enklávéban való végrehajtására programozott részére vonatkozik. A tároló teljes mérete nem megfelelő módszer a maximális rendelkezésre álló EPC-memóriával való összehasonlításra. A DCSv2 SGX-vel rendelkező gépei 32 GB maximális virtuálisgép-memóriát biztosítanak, ahol az alkalmazás nem megbízható része hasznosítaná. Ha azonban a tároló a rendelkezésre álló EPC-memóriánál többet használ fel, akkor a program enklávéban futó részének teljesítménye is hatással lehet.
Az EPC-memória feldolgozó csomópontokban való jobb kezeléséhez vegye figyelembe az EPC memóriaalapú korlátainak kezelését a Kubernetesen keresztül. Kövesse az alábbi példát hivatkozásként.
Megjegyzés:
Az alábbi példa egy nyilvános tárolórendszerképet kér le a Docker Hubról. Javasoljuk, hogy állítson be egy lekéréses titkos kulcsot a hitelesítéshez egy Docker Hub-fiókkal a névtelen lekéréses kérések helyett. A nyilvános tartalommal végzett munka megbízhatóságának javítása érdekében importálja és kezelje a rendszerképet egy privát Azure-tárolóregisztrációs adatbázisban. További információ a nyilvános rendszerképek használatával kapcsolatban.
apiVersion: batch/v1
kind: Job
metadata:
name: sgx-test
labels:
app: sgx-test
spec:
template:
metadata:
labels:
app: sgx-test
spec:
containers:
- name: sgxtest
image: oeciteam/sgx-test: 1.0
resources:
limits:
sgx.intel.com/sgx_epc_mem_in_MiB: 10 # This limit will automatically place the job into confidential computing node. Alternatively, you can target deployment to node pools
restartPolicy: Never
backoffLimit: 0
Mi történik, ha az enklávém a maximális rendelkezésre álló EPC-memóriánál többet használ fel?
A teljes rendelkezésre álló EPC-memória meg van osztva az enklávéalkalmazások között ugyanazon virtuális gépeken vagy feldolgozó csomópontokon. Ha az alkalmazás a rendelkezésre állónál több EPC-memóriát használ, az alkalmazás teljesítményének hatása lehet. Ezért azt javasoljuk, hogy az üzembe helyezési yaml-fájlban alkalmazásonkénti toleranciát állít be a munkavégző csomópontok rendelkezésre álló EPC-memóriájának jobb kezelése érdekében, ahogyan a fenti példákban is látható. Másik lehetőségként bármikor dönthet úgy, hogy feljebb lép a feldolgozó csomópontkészlet virtuálisgép-méretén, vagy további csomópontokat ad hozzá.
Miért nem tudok elágazásokat () és exec-eket végrehajtani több folyamat futtatásához az enklávéalkalmazásomban?
Az Azure confidential computing DCsv2 termékváltozatú virtuális gépei jelenleg egyetlen címteret támogatnak az enklávéban végrehajtó program számára. Az egyetlen folyamat a magas biztonság köré tervezett jelenlegi korlátozás. A bizalmas tárolók engedélyezői azonban alternatív implementációkkal is rendelkezhetnek a korlátozás leküzdése érdekében.
Csatlakoztatnom kell az illesztőprogram-köteteket az üzembehelyezési yaml-ben?
Nem. A termék olyan ACC Add On-t biztosít, amely tartalmazza a (confcom) szolgáltatást, amely segít ebben. Az üzembe helyezés részleteiről itt olvashat bővebben.
Módosíthatjuk az Intel SGX DCAP-búvár aktuális verzióját az AKS-en?
Nem. Az egyéni telepítések végrehajtásához javasoljuk, hogy az AKS-Engine bizalmas számítási feldolgozó csomópontok üzembe helyezését válassza.
Csak aláírt és megbízható képek lesznek betöltve az enklávéba bizalmas számítástechnika céljából?
Az enklávé inicializálása során nem natív módon, de az igazolási folyamat aláírása igen. Ref itt.
Lehetséges a tároló-aláírás, hogy kódintegritási védelmet biztosítsunk a bizalmas tárolóknak?
A bizalmas tárolók lehetővé teszik az enklávékód aláírását, magát a Docker-tárolót azonban nem. Az enklávékód (amely általában a Java, Python stb. alapvető alkalmazáskódja) aláírásával az igazolással ellenőrizheti az enklávé kód MRSIGNER-adatait, mielőtt megbízhatóvá teheti a kódot és a végrehajtási környezetet az igazolási folyamaton keresztül.
Következő lépések
A bizalmas tárolókról további információt a bizalmas tárolók oldalán talál .