AI 助理
备案控制台
开发者社区 龙蜥操作系统 文章 正文

带你读《云原生机密计算最佳实践白皮书》——Intel TDX机密容器(5)

2023-05-26 285
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 带你读《云原生机密计算最佳实践白皮书》——Intel TDX机密容器(5)

《云原生机密计算最佳实践白皮书》——06运行时底座——Intel TDX机密容器(4) https://developer.aliyun.com/article/1231168?groupCode=aliyun_linux




步骤四:启动并验证带签名的加密镜像

1. 配置TDX CoCo runtime

attestation agent 支持TDX平台的KBC为:eaa_kbc , 远端verdictd service用于提供验证和image解密

key,签名的policy和密钥信息。

vim /opt/confifidential-containers/share/defaults/kata-containers/confifiguration-qemu-tdx.
toml
# EAA KBC is specifified as: eaa_kbc::host_ip:port
kernel_params = "<default kernel params> agent.aa_kbc_params=eaa_kbc::verdictd_ip_ad
dress:20002
agent.enable_signature_verifification=true"

2. 部署Pod

注意:在实际操作中,应将用户docker.io/test更名为实际操作的用户名,docker.io/xxxx。

cat <<-EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
 name: test-tdx-alpine
spec:
 runtimeClassName: kata-qemu-tdx
 containers:
 - image: docker.io/test/alpine-encrypted
 command:
 - top
 imagePullPolicy: Always
 name: test-tdx-alpine
 restartPolicy: Never
EOF

• 查看 pod 是否启动成功:

kubectl get po

• 预期结果如下:

NAME READY STATUS RESTARTS AGE
test-tdx-alpine 1/1 Running 0 31h
kubectl describe pod test-tdx-alpine
 Normal Pulling 5s kubelet Pulling image " docker.io/test/alpine-encrypted "
 Normal Pulled 3s kubelet Successfully pulled image " docker.io/test/alpine-encrypted " 
in 1.682344015s (1.682349283s including waiting)
 Normal Created 3s kubelet Created container test-tdx-alpine
 Normal Started 3s kubelet Started container test-tdx-alpine
·
# verdictd 日志
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::rats_tls] response: {"data":{"base64
size":"452"},"status":"OK"}
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::protocol] Request: Object {"command": 
String("Get Policy"), "optional": Object {}}
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::rats_tls] response: ewogICAgImRlZmF
1bHQiOiBbCiAgICAgICAgewogICAgICAgICAgICAidHlwZSI6ICJyZWplY3QiCiAgICAgICAgfQogICAgXSw
KICAgICJ0cmFuc3BvcnRzIjogewogICAgICAgICJkb2NrZXIiOiB7CiAgICAgICAgICAgICJyZWdpc3RyeS5kb
21haW4ubG9jYWwiOiBbCiAgICAgICAgICAgICAgICB7CiAgICAgICAgICAgICAgICAgICAgInR5cGUiOiAic2
lnc3RvcmVTaWduZWQiLAogICAgICAgICAgICAgICAgICAgICJrZXlQYXRoIjogIi9ydW4vaW1hZ2Utc2VjdXJ
pdHkvY29zaWduL2Nvc2lnbi5wdWIiCiAgICAgICAgICAgICAgICB9CiAgICAgICAgICAgIF0KICAgICAgICB9
CiAgICB9Cn0K
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::protocol] Request: Object {"command": 
String("Get Resource Info"), "name": String("Cosign Key")}
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::rats_tls] response: {"data":{"base64
size":"240"},"status":"OK"}
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::protocol] Request: Object {"command": 
String("Get Cosign Key"), "optional": Object {}}
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::rats_tls] response: LS0tLS1CRUdJTiBQVU
JMSUMgS0VZLS0tLS0KTUZrd0V3WUhLb1pJemowQ0FRWUlLb1pJemowRE
FRY0RRZ0FFZ3h6NWhEVXl6VnpFd2RVcnhZb1JQVE1pN0ZveQovVEI4OTVlbmt
MdzE4RHNLczR1MnFidHg1L1hJNVlKaUJ4TDhyZG9NL3A5clBQSHVDVV
dpSkxBSFVnPT0KLS0tLS1FTkQgUFVCTElDIEtFWS0tLS0tCg==EOF


文章标签:
龙蜥操作系统
Perl
容器
Cloud Native
数据安全/隐私保护
关键词:
云原生容器
云原生最佳实践
容器最佳实践
容器运行
云原生计算
相关实践学习
CentOS 7迁移Anolis OS 7
龙蜥操作系统Anolis OS的体验。Anolis OS 7生态上和依赖管理上保持跟CentOS 7.x兼容,一键式迁移脚本centos2anolis.py。本文为您介绍如何通过AOMS迁移工具实现CentOS 7.x到Anolis OS 7的迁移。
技术工程师
目录
相关文章
爱的不是纯牛奶-47754
|
13天前
|
Kubernetes 监控 开发者
掌握容器化:Docker与Kubernetes的最佳实践
【10月更文挑战第26天】本文深入探讨了Docker和Kubernetes的最佳实践,涵盖Dockerfile优化、数据卷管理、网络配置、Pod设计、服务发现与负载均衡、声明式更新等内容。同时介绍了容器化现有应用、自动化部署、监控与日志等开发技巧,以及Docker Compose和Helm等实用工具。旨在帮助开发者提高开发效率和系统稳定性,构建现代、高效、可扩展的应用。
爱的不是纯牛奶-47754
60 3
土木林森
|
6月前
|
存储 监控 安全
【专栏】探讨Docker Compose的核心概念、使用方法及最佳实践,助你轻松驾驭容器编排的世界
【4月更文挑战第27天】Docker Compose是款轻量级容器编排工具,通过YAML文件统一管理多容器应用。本文分三部分深入讨论其核心概念(服务、网络、卷和配置)、使用方法及最佳实践。从快速入门到高级特性,包括环境隔离、CI/CD集成、资源管理和安全措施。通过案例分析展示如何构建多服务应用,助力高效容器编排与管理。
土木林森
423 2
dotNative
|
6天前
|
Kubernetes Cloud Native Ubuntu
庆祝 .NET 9 正式版发布与 Dapr 从 CNCF 毕业:构建高效云原生应用的最佳实践
2024年11月13日,.NET 9 正式版发布,Dapr 从 CNCF 毕业,标志着云原生技术的成熟。本文介绍如何使用 .NET 9 Aspire、Dapr 1.14.4、Kubernetes 1.31.0/Containerd 1.7.14、Ubuntu Server 24.04 LTS 和 Podman 5.3.0-rc3 构建高效、可靠的云原生应用。涵盖环境准备、应用开发、Dapr 集成、容器化和 Kubernetes 部署等内容。
dotNative
27 5
萝卜带泥
|
19天前
|
监控 Cloud Native 持续交付
云原生架构下微服务的最佳实践与挑战####
【10月更文挑战第20天】 本文深入探讨了云原生架构在现代软件开发中的应用,特别是针对微服务设计模式的最优实践与面临的主要挑战。通过分析容器化、持续集成/持续部署(CI/CD)、服务网格等关键技术,阐述了如何高效构建、部署及运维微服务系统。同时,文章也指出了在云原生转型过程中常见的难题,如服务间的复杂通信、安全性问题以及监控与可观测性的实现,为开发者和企业提供了宝贵的策略指导和解决方案建议。 ####
萝卜带泥
42 5
游客762btuqu5wybw666
|
19天前
|
Kubernetes Cloud Native 持续交付
云原生架构下的微服务设计原则与最佳实践##
在数字化转型的浪潮中,云原生技术以其高效、灵活和可扩展的特性成为企业IT架构转型的首选。本文深入探讨了云原生架构的核心理念,聚焦于微服务设计的关键原则与实施策略,旨在为开发者提供一套系统性的方法论,以应对复杂多变的业务需求和技术挑战。通过分析真实案例,揭示了如何有效利用容器化、持续集成/持续部署(CI/CD)、服务网格等关键技术,构建高性能、易维护的云原生应用。文章还强调了文化与组织变革在云原生转型过程中的重要性,为企业顺利过渡到云原生时代提供了宝贵的见解。 ##
游客762btuqu5wybw666
39 3
阿里云云原生
|
1月前
|
人工智能 Cloud Native 安全
从云原生到 AI 原生,网关的发展趋势和最佳实践
本文整理自阿里云智能集团资深技术专家,云原生产品线中间件负责人谢吉宝(唐三)在云栖大会的精彩分享。讲师深入浅出的分享了软件架构演进过程中,网关所扮演的各类角色,AI 应用的流量新特征对软件架构和网关所提出的新诉求,以及基于阿里自身实践所带来的开源贡献和商业能力。
阿里云云原生
140 10
爱的不是纯牛奶-47754
|
29天前
|
存储 运维 监控
云原生应用的可观察性:理解、实现与最佳实践
【10月更文挑战第10天】随着云原生技术的发展,可观察性成为确保应用性能和稳定性的重要因素。本文探讨了云原生应用可观察性的概念、实现方法及最佳实践,包括监控、日志记录和分布式追踪的核心组件,以及如何通过选择合适的工具和策略来提升应用的可观察性。
爱的不是纯牛奶-47754
46 1
爱的不是纯牛奶-47754
|
1月前
|
缓存 监控 测试技术
掌握容器化持续集成/持续部署(CI/CD)的最佳实践
【10月更文挑战第8天】本文介绍了容器化持续集成/持续部署(CI/CD)的最佳实践,涵盖容器化CI/CD的概念、优势和实施步骤。通过使用容器技术,可以实现环境一致性、快速迭代和易于扩展,提高软件开发的效率和可靠性。文章还详细讨论了编写高效的Dockerfile、自动化测试、安全性、监控和日志管理等方面的最佳实践。
爱的不是纯牛奶-47754
50 1
阿里云云原生
|
2月前
|
Cloud Native 关系型数据库 Serverless
基于阿里云函数计算(FC)x 云原生 API 网关构建生产级别 LLM Chat 应用方案最佳实践
本文带大家了解一下如何使用阿里云Serverless计算产品函数计算构建生产级别的LLM Chat应用。该最佳实践会指导大家基于开源WebChat组件LobeChat和阿里云函数计算(FC)构建企业生产级别LLM Chat应用。实现同一个WebChat中既可以支持自定义的Agent,也支持基于Ollama部署的开源模型场景。
阿里云云原生
379 17
肥猪肥猪-17824
|
6月前
|
运维 Kubernetes Cloud Native
构建高效云原生运维体系:Kubernetes最佳实践
【5月更文挑战第9天】 在动态和快速演变的云计算环境中,高效的运维是确保应用稳定性与性能的关键。本文将深入探讨在Kubernetes环境下,如何通过一系列最佳实践来构建一个高效且响应灵敏的云原生运维体系。文章不仅涵盖了容器化技术的选择与优化、自动化部署、持续集成/持续交付(CI/CD)流程的整合,还讨论了监控、日志管理以及灾难恢复策略的重要性。这些实践旨在帮助运维团队有效应对微服务架构下的复杂性,确保系统可靠性及业务的连续性。
肥猪肥猪-17824
281 0

龙蜥操作系统

热门文章

最新文章

  • 1
    Win11彻底卸载WSL2系统(去除导航窗格Linux图标)
  • 2
    查看linux操作系统版本:Ubuntu?Centos?还是其他?
  • 3
    Linux进程查看与控制:掌握ps、top、kill等关键命令
  • 4
    Linux环境下Docker的卸载
  • 5
    linux添加环境变量4种方法
  • 6
    【Anolis OS】龙蜥操作系统(Anolis OS) 8.6安装指南
  • 7
    M1 macos docker获取x86 x64 amd 等指定架构版本linux ubuntu mysql 容器并启动容器
  • 8
    Linux版百度网盘丨直接在服务器SSH命令行中使用百度云,轻松解决数据传输和分享难题
  • 9
    Virtualbox上安装Linux系统(CentOS7)(图文超详细)
  • 10
    VMware虚拟机安装Linux教程(超详细) 1
  • 1
    VIM编辑器
    9
  • 2
    硬核剧透!龙蜥开源软件供应链及操作系统安全MeetUp全议程来啦
    41
  • 3
    如何确保 JNDI 配置的正确性
    25
  • 4
    在 componentWillMount 中调用 setState 会发生什么
    31
  • 5
    云+AI时代下,Alibaba Cloud Linux 进一步演进思考
    61
  • 6
    阿里云服务器操作系统 Alibaba Cloud Linux 全新升级,核心场景性能提升超 20%
    76
  • 7
    新增六大功能解析!eBPF 技术实践白皮书第二版正式发布(附下载链接)
    54
  • 8
    如何在实际开发中深入使用 yalantinglibs 编译期反射库
    92
  • 9
    AI 场景下确保模型数据安全,Confidential AI 技术最佳实践解读
    85
  • 10
    Cloud Kernel SIG 月度动态:ANCK 新增多项龙蜥自研特性
    40

    • 相关课程

    更多
  • 基于容器搭建企业级应用
  • 容器持久化储存训练营
  • 现代应用容器技术快速入门
  • 云计算、容器和云原生基础课程
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • 容器安全与Palo Alto Networks解决方案

    • 相关电子书

    更多
  • 阿里云文件存储 NAS 在容器场景的最佳实践
  • 何种数据存储才能助力容器计算
  • # Apache Spark系列技术直播# 第八讲 【 微软Azure平台利用Intel Analytics Zoo构建AI客服支持实践 】

    • 相关实验场景

    更多
  • 使用容器计算服务 ACS 算力快速搭建生成式 AI 会话应用
  • 容器服务Serverless版ACK Serverless 快速入门:在线魔方应用部署和监控
  • 云原生场景自动化响应ECS系统事件
  • 基于Hologres+PAI+计算巢,5分钟搭建企业级AI问答知识库
  • 使用计算巢企业应用,一键获取专属的Linux服务器管理软件
  • 云原生HTAP数据库,让你的交易和分析一库搞定
    • 下一篇
    阿里云OSS设置跨域访问