In dit artikel vindt u veelgestelde vragen over vertrouwelijke rekenknooppunten op basis van Intel SGX in Azure Kubernetes Service (AKS). Als u nog vragen hebt, kunt u een e-mail sturen acconaks@microsoft.com.
Product
Zijn de vertrouwelijke rekenknooppunten in AKS beschikbaar voor productiegebruik?
Ja, voor Intel SGX-enclaveknooppunten.
Kan ik versneld netwerken inschakelen met AKS-clusters met Azure Confidential Computing?
Ja, DCSv3 VM-knooppunten ondersteunen versneld netwerken. VIRTUELE DCSv2-machines niet.
Welke versie van intel SGX-stuurprogrammaversie bevindt zich op de AKS-installatiekopieën voor vertrouwelijke knooppunten?
Momenteel worden DCSv2/DCSv3-VM's van Azure Confidential Computing geïnstalleerd met Intel SGX DCAP 1.33.2
Kan ik scripts na installatie injecteren/stuurprogramma's aanpassen aan de knooppunten die door AKS zijn ingericht?
Nee Op AKS Engine gebaseerde vertrouwelijke computingknooppunten ondersteunen vertrouwelijke rekenknooppunten die aangepaste installaties toestaan en volledige controle hebben over uw Kubernetes-besturingsvlak.
Kan ik ACC-knooppunten uitvoeren met andere standaard AKS-SKU's (bouw een heterogene knooppuntgroepcluster)?
Ja, u kunt verschillende knooppuntgroepen uitvoeren binnen hetzelfde AKS-cluster, inclusief ACC-knooppunten. Als u uw enclavetoepassingen wilt richten op een specifieke knooppuntgroep, kunt u overwegen om knooppuntkiezers toe te voegen of EPC-limieten toe te passen. Raadpleeg hier meer informatie over de quickstart op vertrouwelijke knooppunten.
Kan ik Windows-knooppunten en Windows-containers uitvoeren met ACC?
Op dit moment niet. Neem contact op met het productteam als acconaks@microsoft.com u Windows-knooppunten of containerbehoeften hebt.
Kan ik nog steeds niet-enclavecontainers plannen en uitvoeren op vertrouwelijke rekenknooppunten?
Ja. De VM's hebben ook een regelmatig geheugen waarmee standaardcontainerworkloads kunnen worden uitgevoerd. Houd rekening met het beveiligings- en bedreigingsmodel van uw toepassingen voordat u besluit over de implementatiemodellen.
Wat is de VM-SKU die ik moet kiezen voor vertrouwelijke rekenknooppunten?
DCSv2/DCsv3-SKU's. Meer informatie over DCSv2 en DCSv3 zijn beschikbaar in de ondersteunde regio's
Kan ik AKS inrichten met DCSv2-knooppuntgroepen via Azure Portal?
Ja. Azure CLI kan ook worden gebruikt als alternatief, zoals hier wordt beschreven.
Welke Ubuntu-versie en VM-generatie wordt ondersteund?
18.04 op Gen 2.
Wat zijn de bekende huidige beperkingen van het product?
- Ondersteunt alleen VM-knooppunten van Ubuntu 18.04 Gen 2
- Geen Ondersteuning voor Windows-knooppunten of Ondersteuning voor Windows-containers
- Automatische schaalaanpassing van horizontale pods op basis van EPC-geheugen wordt niet ondersteund. CPU en regelmatig schalen op basis van geheugen wordt ondersteund.
- Dev Spaces in AKS voor vertrouwelijke apps worden momenteel niet ondersteund
Kan ik AKS inrichten met DCSv2/DCSv3-knooppuntgroepen via Azure Portal?
Ja. Azure CLI kan ook worden gebruikt als alternatief, zoals hier wordt beschreven.
Ontwikkeling en implementatie
Kan ik mijn bestaande containertoepassingen meenemen en uitvoeren op AKS met Azure Confidential Computing?
Ja, u brengt SGX-wrappersoftware uit in een Intel SGX-enclave, bekijk de pagina vertrouwelijke containers voor meer informatie over platform enablers.
Moet ik een Docker-basisinstallatiekopieën gebruiken om aan de slag te gaan met enclavetoepassingen?
Verschillende enablers (ISV's en OSS-projecten) bieden manieren om vertrouwelijke containers in te schakelen. Bekijk de pagina Vertrouwelijke containers voor meer informatie en afzonderlijke verwijzingen naar implementaties.
Concepten van vertrouwelijke containers
Wat is attestation en hoe kunnen we attestation uitvoeren van apps die in enclaves worden uitgevoerd?
Attestation is het proces voor het demonstreren en valideren van het feit dat een stuk software correct is geïnstantieerd op het specifieke hardwareplatform. Het zorgt er ook voor dat zijn bewijsmateriaal verifieerbaar is om garanties te bieden dat het op een veilig platform wordt uitgevoerd en niet is gemanipuleerd. Lees meer over hoe Attestation wordt uitgevoerd voor enclave-apps.
Wat gebeurt er als mijn containergrootte groter is dan beschikbaar EPC-geheugen?
Het EPC-geheugen is van toepassing op het deel van uw toepassing dat is geprogrammeerd om uit te voeren in de enclave. De totale grootte van uw container is niet de juiste manier om deze te vergelijken met het maximaal beschikbare EPC-geheugen. DCSv2-machines met SGX maken het maximale VM-geheugen van 32 GB mogelijk, waar uw niet-vertrouwde deel van de toepassing zou worden gebruikt. Als uw container echter meer dan beschikbaar EPC-geheugen verbruikt, kunnen de prestaties van het deel van het programma dat in de enclave wordt uitgevoerd, worden beïnvloed.
Als u het EPC-geheugen in de werkknooppunten beter wilt beheren, kunt u het beheer van limieten op basis van EPC-geheugen via Kubernetes overwegen. Volg het onderstaande voorbeeld als referentie.
Notitie
In het volgende voorbeeld wordt een openbare containerinstallatiekopie opgehaald uit Docker Hub. U wordt aangeraden een pull-geheim in te stellen voor verificatie met behulp van een Docker Hub-account in plaats van een anonieme pull-aanvraag te maken. Als u de betrouwbaarheid wilt verbeteren bij het werken met openbare inhoud, importeert en beheert u de installatiekopieën in een privé-Azure-containerregister. Meer informatie over het werken met openbare afbeeldingen.
apiVersion: batch/v1
kind: Job
metadata:
name: sgx-test
labels:
app: sgx-test
spec:
template:
metadata:
labels:
app: sgx-test
spec:
containers:
- name: sgxtest
image: oeciteam/sgx-test: 1.0
resources:
limits:
sgx.intel.com/sgx_epc_mem_in_MiB: 10 # This limit will automatically place the job into confidential computing node. Alternatively, you can target deployment to node pools
restartPolicy: Never
backoffLimit: 0
Wat gebeurt er als mijn enclave meer dan het maximale beschikbare EPC-geheugen verbruikt?
Het totale beschikbare EPC-geheugen wordt gedeeld tussen de enclavetoepassingen in dezelfde VM's of werkknooppunten. Als uw toepassing meer dan beschikbaar EPC-geheugen gebruikt, kunnen de prestaties van de toepassing worden beïnvloed. Daarom raden we u aan om tolerantie per toepassing in te stellen in uw yaml-implementatiebestand om het beschikbare EPC-geheugen per werkknooppunten beter te beheren, zoals wordt weergegeven in de bovenstaande voorbeelden. U kunt er ook voor kiezen om omhoog te gaan op de VM-grootten van de werkknooppuntgroep of om meer knooppunten toe te voegen.
Waarom kan ik forks () en exec niet uitvoeren om meerdere processen uit te voeren in mijn enclavetoepassing?
Op dit moment bieden DCsv2-SKU-VM's van Azure Confidential Computing ondersteuning voor één adresruimte voor het programma dat wordt uitgevoerd in een enclave. Eén proces is een huidige beperking die is ontworpen voor hoge beveiliging. Vertrouwelijke container enablers kunnen echter alternatieve implementaties hebben om deze beperking te overwinnen.
Moet ik de stuurprogrammavolumes koppelen in mijn implementatie-yaml?
Nee Het product biedt ACC-invoegtoepassing die de (confcom) bevat, helpt u hierbij. Lees hier meer over de implementatiedetails.
Kunnen we de huidige Intel SGX DCAP-duikerversie op AKS wijzigen?
Nee Als u aangepaste installaties wilt uitvoeren, wordt u aangeraden AKS-Engine Confidential Computing Worker Nodes-implementaties te kiezen.
Worden alleen ondertekende en vertrouwde installatiekopieën in de enclave geladen voor vertrouwelijke computing?
Niet systeemeigen tijdens de initialisatie van enclaves, maar ja via attestation-proceshandtekening kan worden gevalideerd. Verw hier.
Is containerondertekening mogelijk om code-integriteitsbeveiliging naar vertrouwelijke containers te brengen?
Met vertrouwelijke containers kunt u de enclavecode ondertekenen, maar niet de docker-container zelf. Met enclavecode (wat doorgaans uw kerntoepassingscode is in Java, Python enzovoort) kunt u verifiëren via attestation de MRSIGNER-details van de enclavecode voordat u de code en de uitvoeringsomgeving kunt vertrouwen via attestation-stroom.
Volgende stappen
Bekijk de pagina Vertrouwelijke containers voor meer informatie over vertrouwelijke containers.