AI 助理
文档备案控制台
开发者社区 龙蜥操作系统 文章 正文

带你读《云原生机密计算最佳实践白皮书》——AMD SEV机密容器(5)

2023-05-26 344
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 带你读《云原生机密计算最佳实践白皮书》——AMD SEV机密容器(5)

《云原生机密计算最佳实践白皮书》——06运行时底座——AMD SEV机密容器(4) https://developer.aliyun.com/article/1231026?groupCode=aliyun_linux




基于online KBC运行机密容器

• 请下载支持online sev kbc 的 initrd:

wget https://mirrors.openanolis.cn/inclavare-containers/confifidential-containers-demo/bin/
ccv3-sev/initrd.run.online-sev.img -O /opt/confifidential-containers/share/kata-containers/
kata-containers-initrd-sev.img

• 自定义 policy ,请参考附录部分。

• 编辑 kata 配置文件:

kbs_ip="$(ip -o route get to 8.8.8.8 | sed -n 's/.*src \([0-9.]\+\).*/\1/p')"
sed -i 's/agent.enable_signature_verifification=false /&agent.aa_kbc_params=online_sev_kb
c::'$kbs_ip':44444/' /opt/confifidential-containers/share/defaults/kata-containers/
 confifiguration-qemu-sev.toml

• 启动 Pod

cat <<-EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
 labels:
 run: test-en-online
 name: test-en-online
spec:
 containers:
 - image: docker.io/haosanzi/busybox-v1:encrypted
 name: test-en-online
 imagePullPolicy: Always
 dnsPolicy: ClusterFirst
 restartPolicy: Never
 runtimeClassName: kata-qemu-sev
EOF

查看 pod 是否启动成功:

kubectl get po

预期结果如下:

NAME READY STATUS RESTARTS AGE
test-en-online 1/1 Running 0 146m

基于offlfflffline KBC运行加密容器

• 请下载支持offlfflffline KBC的initrd。

wget https://mirrors.openanolis.cn/inclavare-containers/confifidential-containers-demo/bin/
ccv3-sev/initrd.run.online-sev.img -O /opt/confifidential-containers/share/kata-containers/
kata-containers-initrd-sev.img

• 编辑 kata 配置文件:

kbs_ip="$(ip -o route get to 8.8.8.8 | sed -n 's/.*src \([0-9.]\+\).*/\1/p')"
sed -i 's/agent.enable_signature_verifification=false /&agent.aa_kbc_params=online_sev_kb
c::'$kbs_ip':44444/' /opt/confifidential-containers/share/defaults/kata-containers/

• 自定义 policy ,请参考附录部分。

• 启动 Pod

cat <<-EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
 labels:
 run: test-en-offlfflffline
 name: test-en-offlfflffline
spec:
 containers:
 - image: docker.io/haosanzi/busybox-v1:encrypted
 name: test-en-offlfflffline
 imagePullPolicy: Always
 dnsPolicy: ClusterFirst
 restartPolicy: Never
 runtimeClassName: kata-qemu-sev
EOF

查看 pod 是否启动成功:

kubectl get po

预期结果如下:

NAME READY STATUS RESTARTS AGE
test-en-offlfflffline 1/1 Running 0 31h




《云原生机密计算最佳实践白皮书》——06运行时底座——AMD SEV机密容器(6) https://developer.aliyun.com/article/1231023?groupCode=aliyun_linux

文章标签:
龙蜥操作系统
Perl
容器
Cloud Native
数据安全/隐私保护
关键词:
云原生计算
云原生容器
容器运行
云原生最佳实践
容器最佳实践
技术工程师
目录
相关文章
游客u7dljxi6kiud6
|
10月前
|
存储 缓存 分布式计算
StarRocks x Iceberg:云原生湖仓分析技术揭秘与最佳实践
本文将深入探讨基于 StarRocks 和 Iceberg 构建的云原生湖仓分析技术,详细解析两者结合如何实现高效的查询性能优化。内容涵盖 StarRocks Lakehouse 架构、与 Iceberg 的性能协同、最佳实践应用以及未来的发展规划,为您提供全面的技术解读。 作者:杨关锁,北京镜舟科技研发工程师
游客u7dljxi6kiud6
742 9
StarRocks x Iceberg:云原生湖仓分析技术揭秘与最佳实践
1353439074542983
|
7月前
|
Ubuntu PHP Docker
一个可以运行的Dockerfile_php ,用来创建php容器镜像
该简介描述了一个基于 Dragonwell 8 Ubuntu 的 Docker 镜像,用于构建包含 PHP 7.4 及常用扩展的运行环境。通过更换为阿里云源提升安装速度,配置了 PHP-FPM 并暴露 9000 端口,使用自定义 Dockerfile 构建镜像并成功运行容器。
1353439074542983
234 0
阿里云云原生
|
存储 监控 对象存储
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
针对本地存储和 PVC 这两种容器存储使用方式,我们对 ACK 的容器存储监控功能进行了全新升级。此次更新完善了对集群中不同存储类型的监控能力,不仅对之前已有的监控大盘进行了优化,还针对不同的云存储类型,上线了全新的监控大盘,确保用户能够更好地理解和管理容器业务应用的存储资源。
阿里云云原生
728 269
我是快乐的嘟嘟
|
监控 Docker 容器
在Docker容器中运行打包好的应用程序
在Docker容器中运行打包好的应用程序
我是快乐的嘟嘟
978 164
阿里云云原生
|
人工智能 Cloud Native 安全
从云原生到 AI 原生,网关的发展趋势和最佳实践
本文整理自阿里云智能集团资深技术专家,云原生产品线中间件负责人谢吉宝(唐三)在云栖大会的精彩分享。讲师深入浅出的分享了软件架构演进过程中,网关所扮演的各类角色,AI 应用的流量新特征对软件架构和网关所提出的新诉求,以及基于阿里自身实践所带来的开源贡献和商业能力。
阿里云云原生
1087 102
探索云世界动手实践
|
人工智能 Prometheus 监控
容器化AI模型的监控与治理:确保模型持续稳定运行
在前几篇文章中,我们探讨了AI模型的容器化部署及构建容器化机器学习流水线。然而,将模型部署到生产环境只是第一步,更重要的是确保其持续稳定运行并保持性能。为此,必须关注容器化AI模型的监控与治理。 监控和治理至关重要,因为AI模型在生产环境中面临数据漂移、概念漂移、模型退化和安全风险等挑战。全面的监控涵盖模型性能、数据质量、解释性、安全性和版本管理等方面。使用Prometheus和Grafana可有效监控性能指标,而遵循模型治理最佳实践(如建立治理框架、定期评估、持续改进和加强安全)则能进一步提升模型的可信度和可靠性。总之,容器化AI模型的监控与治理是确保其长期稳定运行的关键。
探索云世界动手实践
473 4
1353439074542983
|
PHP Docker 容器
如何在宿主主机运行容器中的php守护进程
在Docker容器中同时运行多个程序(如Nginx+PHP+Ftp)时,需用`docker exec`命令启动额外服务。首先通过`php -v`查看PHP版本,再用`which php-fpm7.4`确认PHP安装路径,通常返回`/usr/sbin/php-fpm7.4`。最后直接运行该路径启动PHP-FPM服务,确保其正常工作。
1353439074542983
312 14
技术小达人
|
存储 监控 对象存储
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
技术小达人
377 0
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
码农小达人
|
存储 监控 对象存储
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
码农小达人
292 1
阿里云基础设施.
|
存储 监控 对象存储
ACK容器监控存储全面更新:让您的应用运行更稳定、更透明
介绍升级之后的ACK容器监控体系,包括各大盘界面展示和概要介绍。
阿里云基础设施.
338 21

龙蜥操作系统

热门文章

最新文章

  • 1
    Win11彻底卸载WSL2系统(去除导航窗格Linux图标)
  • 2
    龙蜥操作系统:CentOS 谢幕之后,国产云原生系统的崛起之路
  • 3
    Linux环境下Docker的卸载
  • 4
    APP上架到应用商店需要哪些流程?
  • 5
    Linux系统之alias别名的基本使用
  • 6
    大语言模型工作原理和工作流程
  • 7
    Linux 命令 `chown`:改变文件或目录的所有者
  • 8
    Linux `sudo apt update`和`sudo apt upgrade`命令的作用和使用方法
  • 9
    Linux版百度网盘丨直接在服务器SSH命令行中使用百度云,轻松解决数据传输和分享难题
  • 10
    国产化之虚拟ARM64-CPU安装银河麒麟操作系统
  • 1
    议题征集!智算时代 AI 基础设施创新技术沙龙,邀您共探前沿技术
    50
  • 2
    智算新范式:基于 Anolis OS 构建 Confidential AI Agent — OpenClaw-CC 隐私保护实践
    225
  • 3
    龙蜥社区通过OpenChain 18974国际标准认证,夯实开源安全技术底座
    93
  • 4
    恭贺!西交利物浦大学PQC-X实验室空间启用及国际合作交流中心揭牌,携手龙蜥共筑后量子安全防线
    87
  • 5
    直播预告:Anolis OS 如何与 Intel TDX 携手共筑 AI Agent 隐私防线
    109
  • 6
    RISC-V 基金会 Data Center SIG 第七次会议圆满结束,研讨硬件加速机制
    197
  • 7
    告别云原生内存黑盒:SysOM MCP助力ACK AI助手智能运维实践
    168
  • 8
    新年小惊喜!龙蜥之旅五周年特辑上线啦,解锁你的社区足迹
    129
  • 9
    线上观看人次18万+!智算技术沙龙圆满落幕(附 PPT 下载)
    200
  • 10
    两大委员会1月工作会议召开:运营年度回顾、研发协同机制优化等事项同步
    116

    • 相关课程

    更多
  • 基于容器搭建企业级应用
  • 容器持久化储存训练营
  • 现代应用容器技术快速入门
  • 云计算、容器和云原生基础课程
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • 容器安全与Palo Alto Networks解决方案

    • 相关电子书

    更多
  • 使用CNFS搭建弹性Web服务
  • 阿里云文件存储 NAS 在容器场景的最佳实践
  • 何种数据存储才能助力容器计算
    • 下一篇
    狂揽7.5k星!这款开源API网关彻底解放开发者:一键聚合GPT-4、Suno、Midjourney,还能在线充值!