Bu makalede, Azure Kubernetes Service'te (AKS) Intel SGX tabanlı gizli bilgi işlem düğümleri hakkında sık sorulan sorular ele alınmaktadır. Başka sorularınız varsa adresine e-posta gönderin acconaks@microsoft.com.
Ürün
AKS'de gizli bilgi işlem düğümleri üretimde kullanılabilir mi?
Evet, Intel SGX kapanım düğümleri için.
Azure gizli bilgi işlem AKS Kümeleri ile Hızlandırılmış Ağ özelliğini etkinleştirebilir miyim?
Evet, DCSv3 VM düğümleri hızlandırılmış ağı destekler. DCSv2 Sanal makineler bunu yapmaz.
Gizli düğümler için AKS Görüntüsünde hangi Intel SGX Sürücüsü sürümü var?
Şu anda Azure gizli bilgi işlem DCSv2/DCSv3 VM'leri Intel SGX DCAP 1.33.2 ile yüklüdür
AKS tarafından sağlanan Düğümlere yükleme sonrası betikleri ekleyebilir/sürücüleri özelleştirebilir miyim?
Hayır. AKS-Engine tabanlı gizli bilgi işlem düğümleri , özel yüklemelere izin veren ve Kubernetes kontrol düzleminiz üzerinde tam denetime sahip olan gizli bilgi işlem düğümlerini destekler.
ACC Düğümlerini diğer standart AKS SKU'larıyla çalıştırabilir miyim (heterojen düğüm havuzu kümesi oluşturabilir miyim)?
Evet, ACC düğümleri de dahil olmak üzere aynı AKS kümesi içinde farklı düğüm havuzları çalıştırabilirsiniz. Kapanım uygulamalarınızı belirli bir düğüm havuzuna hedeflemek için düğüm seçicileri eklemeyi veya EPC sınırlarını uygulamayı göz önünde bulundurun. Burada gizli düğümlerde hızlı başlangıç hakkında daha fazla ayrıntıya bakın.
ACC ile Windows Düğümleri ve Windows kapsayıcıları çalıştırabilir miyim?
Şu anda hayır. Windows düğümleriniz veya kapsayıcı gereksinimleriniz varsa adresinden ürün ekibine acconaks@microsoft.com başvurun.
Yine de gizli bilgi işlem düğümlerinde kapanım dışı kapsayıcılar zamanlayabilir ve çalıştırabilir miyim?
Evet. VM'lerin standart kapsayıcı iş yüklerini çalıştırabilen normal bir belleği de vardır. Dağıtım modellerine karar vermeden önce uygulamalarınızın güvenlik ve tehdit modelini göz önünde bulundurun.
Gizli bilgi işlem düğümleri için seçmem gereken VM SKU'su nedir?
DCSv2/DCsv3 SKU'ları. DCSv2 ve DCSv3 hakkında daha fazla bilgi desteklenen bölgelerde mevcuttur
Azure portalı aracılığıyla DCSv2 Düğüm Havuzları ile AKS sağlayabilir miyim?
Evet. Azure CLI, burada belgelendiği gibi alternatif olarak da kullanılabilir.
Hangi Ubuntu sürümü ve VM oluşturma desteklenir?
2. Nesil'de 18.04.
Ürünün bilinen geçerli sınırlamaları nelerdir?
- Yalnızca Ubuntu 18.04 2. Nesil VM Düğümlerini destekler
- Windows Düğüm Desteği yok veya Windows Kapsayıcıları Desteği Yok
- EPC Bellek tabanlı Yatay Pod Otomatik Ölçeklendirme desteklenmez. CPU ve normal bellek tabanlı ölçeklendirme desteklenir.
- Gizli uygulamalar için AKS'de Dev Spaces şu anda desteklenmiyor
AZURE portalı üzerinden DCSv2/DCSv3 Düğüm Havuzları ile AKS sağlayabilir miyim?
Evet. Azure CLI, burada belgelendiği gibi alternatif olarak da kullanılabilir.
Geliştirme ve Dağıtma
Mevcut kapsayıcılı uygulamalarımı getirebilir ve Azure Gizli Bilgi İşlem ile AKS üzerinde çalıştırabilir miyim?
Evet, Bir Intel SGX kapanımda çalıştırılacak SGX sarmalayıcı yazılımını getirecek, platform etkinleştiricileri hakkında daha fazla bilgi için gizli kapsayıcılar sayfasını gözden geçireceksiniz.
Kapanım uygulamalarına başlamak için Docker temel görüntüsü kullanmalı mıydım?
Çeşitli etkinleştiriciler (ISV'ler ve OSS projeleri), gizli kapsayıcıları etkinleştirmenin yollarını sağlar. Daha fazla ayrıntı ve uygulamalara bireysel başvurular için gizli kapsayıcılar sayfasını gözden geçirin.
Gizli Kapsayıcı Kavramları
Kanıtlama nedir ve kuşatmalarda çalışan uygulamaların kanıtlama işlemini nasıl yapabiliriz?
Kanıtlama, belirli bir donanım platformunda bir yazılım parçasının düzgün bir şekilde örneklendiğini gösterme ve doğrulama işlemidir. Ayrıca, kanıtının güvenli bir platformda çalıştığına ve üzerinde oynanmadığından emin olmak için doğrulanabilir olmasını sağlar. Kapanım uygulamaları için kanıtlamanın nasıl yapıldığı hakkında daha fazla bilgi edinin.
Kapsayıcı boyutum kullanılabilir EPC belleğinden daha fazlaysa ne olur?
EPC belleği, uygulamanızın kapanımda yürütülecek şekilde programlanan bölümüne uygulanır. Kapsayıcınızın toplam boyutu, kullanılabilir en yüksek EPC belleğiyle karşılaştırmak için doğru yol değildir. Aslında, SGX içeren DCSv2 makineleri, uygulamanın güvenilmeyen bölümünün kullanacağı en fazla 32 GB VM belleğine izin verir. Ancak kapsayıcınız kullanılabilir EPC belleğinden daha fazla tüketiyorsa, kapanımda çalışan programın bölümünün performansı etkilenebilir.
Çalışan düğümlerindeki EPC belleğini daha iyi yönetmek için Kubernetes aracılığıyla EPC bellek tabanlı sınırlar yönetimini göz önünde bulundurun. Başvuru olarak aşağıdaki örneği izleyin.
Dekont
Aşağıdaki örnek, Docker Hub'dan bir genel kapsayıcı görüntüsü çeker. Anonim çekme isteğinde bulunmak yerine Docker Hub hesabı kullanarak kimlik doğrulaması yapmak için bir çekme gizli dizisi ayarlamanızı öneririz. Genel içerikle çalışırken güvenilirliği artırmak için görüntüyü özel bir Azure kapsayıcı kayıt defterinde içeri aktarın ve yönetin. Genel görüntülerle çalışma hakkında daha fazla bilgi edinin.
apiVersion: batch/v1
kind: Job
metadata:
name: sgx-test
labels:
app: sgx-test
spec:
template:
metadata:
labels:
app: sgx-test
spec:
containers:
- name: sgxtest
image: oeciteam/sgx-test: 1.0
resources:
limits:
sgx.intel.com/sgx_epc_mem_in_MiB: 10 # This limit will automatically place the job into confidential computing node. Alternatively, you can target deployment to node pools
restartPolicy: Never
backoffLimit: 0
Kapanım kullanılabilir en yüksek EPC belleğinden daha fazla tüketirse ne olur?
Toplam kullanılabilir EPC belleği, aynı VM'lerdeki veya çalışan düğümlerindeki kapanım uygulamaları arasında paylaşılır. Uygulamanız kullanılabilir durumdan daha fazla EPC belleği kullanıyorsa, uygulama performansı etkilenebilir. Bu nedenle, yukarıdaki örneklerde gösterildiği gibi çalışan düğümleri başına kullanılabilir EPC belleğini daha iyi yönetmek için dağıtım yaml dosyanızda uygulama başına tolerans ayarlamanızı öneririz. Alternatif olarak, her zaman çalışan düğümü havuzu VM boyutları üzerinde yukarı taşımayı veya daha fazla düğüm eklemeyi seçebilirsiniz.
Kapanım uygulamamda birden çok işlemi çalıştırmak için neden çatal () ve exec işlemi gerçekleştiremiyorum?
Şu anda Azure gizli bilgi işlem DCsv2 SKU VM'leri, bir kapanımda yürütülen program için tek bir adres alanını destekler. Tek işlem, yüksek güvenlikle ilgili tasarlanmış geçerli bir sınırlamadır. Ancak gizli kapsayıcı etkinleştiricilerinin bu sınırlamayı aşmak için alternatif uygulamaları olabilir.
Sürücü birimlerini dağıtım yaml'me bağlamam gerekiyor mu?
Hayır. Ürün, bu konuda size yardımcı olacak (confcom) içeren ACC Eklentisi sağlar. Dağıtım ayrıntıları hakkında daha fazla bilgiyi burada bulabilirsiniz.
AKS'de geçerli Intel SGX DCAP diver sürümünü değiştirebilir miyiz?
Hayır. Özel yüklemeleri gerçekleştirmek için AKS Altyapısı Gizli Bilgi İşlem Çalışanı Düğümleri dağıtımlarını seçmenizi öneririz.
Gizli bilgi işlem için kapanıma yalnızca imzalı ve güvenilir görüntüler mi yüklenecek?
Kapanım başlatma sırasında yerel olarak değil, ancak kanıtlama işlemi imzası aracılığıyla evet doğrulanabilir. Başv burada.
Gizli kapsayıcılara kod bütünlüğü koruması getirmek için kapsayıcı imzalama mümkün mü?
Gizli kapsayıcılar, docker kapsayıcısının kendisini değil, kapanım kodunu imzalamanıza olanak sağlar. Kapanım kodu (genellikle Java, Python vb. içindeki temel uygulama kodunuzdur) imzalama ile, kanıtlama akışı aracılığıyla koda ve yürütme ortamına güvenmeden önce, kapanım kodunun MRSIGNER ayrıntılarını kanıtlama yoluyla doğrulayabilirsiniz.
Sonraki Adımlar
Gizli kapsayıcılar hakkında daha fazla bilgi için gizli kapsayıcılar sayfasını gözden geçirin.