《云原生机密计算最佳实践白皮书》——06运行时底座——AMD SEV机密容器(1) https://developer.aliyun.com/article/1231034?groupCode=aliyun_linux
步骤一:部署测试集群
本步骤为您提供快速部署单节点测试集群的步骤。您可以根据您的需求,灵活部署集群。
配置权限
关闭fifirewall
Linux系统下面自带了防火墙 iptables ,iptables 可以设置很多安全规则。但是如果配置错误很容易导致各种网络问题。此处建议关闭 fifirewall 。 执行如下操作:
sudo service fifirewalld stop
检查 fifirewall 状态:
service fifirewalld status
预期结果如下:
Redirecting to /bin/systemctl status fifirewalld.service ● fifirewalld.service - fifirewalld - dynamic fifirewall daemon Loaded: loaded (/usr/lib/systemd/system/fifirewalld.service; disabled; vendor preset:enabled) Active: inactive (dead) Docs: man:fifirewalld(1)
关闭selinux
Security-Enhanced Linux(SELinux)是一个在内核中实施的强制存取控制(MAC)安全性机制。为避免出现权限控制导致的虚拟机启动、访问失败等问题,此处建议关闭selinux。执行如下操作:
setenforce 0
预期结果如下:
setenforce: SELinux is disabled
安装operator-sdk
operator SDK 项目是 Operator Framework 的一个组件,Operator Framework 是一个开源工具包,用于以有效、自动化和可扩展的方式管理 Kubernetes 原生应用程序,称为 Operators。具体信息,请参考operator SDK。
wget -O /usr/local/bin/operator-sdk https://github.com/operator-framework/operator-sd k/releases/download/v1.23.0/operator-sdk_linux_amd64 sudo chmod +x /usr/local/bin/operator-sdk
启动本地 docker registry
• 请执行下列脚本安装 docker
yum-confifig-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum install -y containerd.io docker-ce docker-ce-cli systemctl start docker.service
• 执行如下命令,启动本地 docker registry,该registry 用于存储operator images。
docker run -itd -p 5000:5000 docker.io/library/registry:latest
检查 docker 容器是否启动成功:
docker ps
预期结果如下,注意,状态(STATUS)应该是Up的。
CONTAINER ID IMAGE COMMAND CREATED STATUS a7cc49ee1d19 registry:latest "/entrypoint.sh /etc…" 38 minutes ago Up 38 minutes 0.0.0.0:5000->5000/tcp, :::5000->5000/tcp nostalgic_montalcini
配置containerd
自动生成默认的confifig.toml
containerd confifig default > /etc/containerd/confifig.toml
由于默认的 confifig.toml 使用的是国外的镜像,国内有可能无法访问。请参考以下命令修改为国内镜像。
cd /etc/containerd sed -i 's#registry.k8s.io/pause:3.6#registry.cn-hangzhou.aliyuncs.com/google_containers/ pause:3.1#g' confifig.toml
启动 containerd
systemctl containerd start
部署单节点的Kubernetes cluster
• 请参考kubernetes官方指南安装Kubernetes cluster。最低 Kubernetes 版本应为 1.24。
• 确保集群中至少有一个 Kubernetes 节点具有标签 node-role.kubernetes.io/worker=
kubectl label node <node-name> node-role.kubernetes.io/worker=
《云原生机密计算最佳实践白皮书》——06运行时底座——AMD SEV机密容器(3) https://developer.aliyun.com/article/1231028?groupCode=aliyun_linux
