带你读《云原生机密计算最佳实践白皮书》——AMD SEV机密容器(5)

简介: 带你读《云原生机密计算最佳实践白皮书》——AMD SEV机密容器(5)

《云原生机密计算最佳实践白皮书》——06运行时底座——AMD SEV机密容器(4) https://developer.aliyun.com/article/1231026?groupCode=aliyun_linux




基于online KBC运行机密容器

• 请下载支持online sev kbc 的 initrd:

wget https://mirrors.openanolis.cn/inclavare-containers/confifidential-containers-demo/bin/
ccv3-sev/initrd.run.online-sev.img -O /opt/confifidential-containers/share/kata-containers/
kata-containers-initrd-sev.img

• 自定义 policy ,请参考附录部分。

• 编辑 kata 配置文件:

kbs_ip="$(ip -o route get to 8.8.8.8 | sed -n 's/.*src \([0-9.]\+\).*/\1/p')"
sed -i 's/agent.enable_signature_verifification=false /&agent.aa_kbc_params=online_sev_kb
c::'$kbs_ip':44444/' /opt/confifidential-containers/share/defaults/kata-containers/
 confifiguration-qemu-sev.toml

• 启动 Pod

cat <<-EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
 labels:
 run: test-en-online
 name: test-en-online
spec:
 containers:
 - image: docker.io/haosanzi/busybox-v1:encrypted
 name: test-en-online
 imagePullPolicy: Always
 dnsPolicy: ClusterFirst
 restartPolicy: Never
 runtimeClassName: kata-qemu-sev
EOF

查看 pod 是否启动成功:

kubectl get po

预期结果如下:

NAME READY STATUS RESTARTS AGE
test-en-online 1/1 Running 0 146m

基于offlfflffline KBC运行加密容器

• 请下载支持offlfflffline KBC的initrd。

wget https://mirrors.openanolis.cn/inclavare-containers/confifidential-containers-demo/bin/
ccv3-sev/initrd.run.online-sev.img -O /opt/confifidential-containers/share/kata-containers/
kata-containers-initrd-sev.img

• 编辑 kata 配置文件:

kbs_ip="$(ip -o route get to 8.8.8.8 | sed -n 's/.*src \([0-9.]\+\).*/\1/p')"
sed -i 's/agent.enable_signature_verifification=false /&agent.aa_kbc_params=online_sev_kb
c::'$kbs_ip':44444/' /opt/confifidential-containers/share/defaults/kata-containers/

• 自定义 policy ,请参考附录部分。

• 启动 Pod

cat <<-EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
 labels:
 run: test-en-offlfflffline
 name: test-en-offlfflffline
spec:
 containers:
 - image: docker.io/haosanzi/busybox-v1:encrypted
 name: test-en-offlfflffline
 imagePullPolicy: Always
 dnsPolicy: ClusterFirst
 restartPolicy: Never
 runtimeClassName: kata-qemu-sev
EOF

查看 pod 是否启动成功:

kubectl get po

预期结果如下:

NAME READY STATUS RESTARTS AGE
test-en-offlfflffline 1/1 Running 0 31h




《云原生机密计算最佳实践白皮书》——06运行时底座——AMD SEV机密容器(6) https://developer.aliyun.com/article/1231023?groupCode=aliyun_linux

相关文章
|
3月前
|
Cloud Native 中间件 调度
云原生信息提取系统:容器化流程与CI/CD集成实践
本文介绍如何通过工程化手段解决数据提取任务中的稳定性与部署难题。结合 Scrapy、Docker、代理中间件与 CI/CD 工具,构建可自动运行、持续迭代的云原生信息提取系统,实现结构化数据采集与标准化交付。
110 1
云原生信息提取系统:容器化流程与CI/CD集成实践
|
5月前
|
Kubernetes Cloud Native 区块链
Arista cEOS 4.30.10M - 针对云原生环境设计的容器化网络操作系统
Arista cEOS 4.30.10M - 针对云原生环境设计的容器化网络操作系统
145 0
|
8月前
|
人工智能 安全 API
容器化AI模型的安全防护实战:代码示例与最佳实践
本文基于前文探讨的容器化AI模型安全威胁,通过代码示例展示如何在实际项目中实现多层次的安全防护措施。以一个基于TensorFlow的图像分类模型为例,介绍了输入验证、模型加密、API认证和日志记录的具体实现方法,并结合最佳实践,如使用安全容器镜像、限制权限、网络隔离等,帮助构建更安全的AI服务。
|
10月前
|
存储 Kubernetes 开发者
容器化时代的领航者:Docker 和 Kubernetes 云原生时代的黄金搭档
Docker 是一种开源的应用容器引擎,允许开发者将应用程序及其依赖打包成可移植的镜像,并在任何支持 Docker 的平台上运行。其核心概念包括镜像、容器和仓库。镜像是只读的文件系统,容器是镜像的运行实例,仓库用于存储和分发镜像。Kubernetes(k8s)则是容器集群管理系统,提供自动化部署、扩展和维护等功能,支持服务发现、负载均衡、自动伸缩等特性。两者结合使用,可以实现高效的容器化应用管理和运维。Docker 主要用于单主机上的容器管理,而 Kubernetes 则专注于跨多主机的容器编排与调度。尽管 k8s 逐渐减少了对 Docker 作为容器运行时的支持,但 Doc
384 5
容器化时代的领航者:Docker 和 Kubernetes 云原生时代的黄金搭档
|
10月前
|
存储 人工智能 调度
容器服务:智算时代云原生操作系统及月之暗面Kimi、深势科技实践分享
容器技术已经发展成为云计算操作系统的关键组成部分,向下高效调度多样化异构算力,向上提供统一编程接口,支持多样化工作负载。阿里云容器服务在2024年巴黎奥运会中提供了稳定高效的云上支持,实现了子弹时间特效等创新应用。此外,容器技术还带来了弹性、普惠的计算能力升级,如每分钟创建1万Pod和秒级CPU资源热变配,以及针对大数据与AI应用的弹性临时盘和跨可用区云盘等高性能存储解决方案。智能运维方面,推出了即时弹性节点池、智能应用弹性策略和可信赖集群托管运维等功能,进一步简化了集群管理和优化了资源利用率。
|
9月前
|
人工智能 运维 监控
容器服务Kubernetes场景下可观测体系生产级最佳实践
阿里云容器服务团队在2024年继续蝉联Gartner亚洲唯一全球领导者象限,其可观测体系是运维的核心能力之一。该体系涵盖重保运维、大规模集群稳定性、业务异常诊断等场景,特别是在AI和GPU场景下提供了全面的观测解决方案。通过Tracing、Metric和Log等技术,阿里云增强了对容器网络、存储及多集群架构的监控能力,帮助客户实现高效运维和成本优化。未来,结合AI助手,将进一步提升问题定位和解决效率,缩短MTTR,助力构建智能运维体系。
|
9月前
|
监控 安全 Cloud Native
阿里云容器服务&云安全中心团队荣获信通院“云原生安全标杆案例”奖
2024年12月24日,阿里云容器服务团队与云安全中心团队获得中国信息通信研究院「云原生安全标杆案例」奖。
|
10月前
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
本文基于2024云栖大会演讲,探讨了软件供应链攻击的快速增长趋势及对企业安全的挑战。文中介绍了如何利用阿里云容器服务ACK、ACR和ASM构建云原生软件供应链安全,涵盖容器镜像的可信生产、管理和分发,以及服务网格ASM实现应用无感的零信任安全,确保企业在软件开发和部署过程中的安全性。
|
10月前
|
Kubernetes 安全 数据安全/隐私保护
云卓越架构:容器安全最佳实践
本次分享由阿里云智能集团解决方案架构师张玉峰主讲,主题为“云卓越架构:容器安全最佳实践”。内容涵盖容器安全的挑战、云原生容器安全架构及典型场景。首先分析了容器安全面临的问题,如镜像漏洞和权限管理。接着介绍了容器安全架构的五个维度:身份权限管理、配置安全检查、运行时防护、镜像安全检测及发布的安全管控。最后通过具体场景展示了容器身份与权限管理、密钥管理、运行时防入侵等最佳实践,强调了安全左移的重要性,确保从开发到运行的全生命周期安全覆盖。
|
6月前
|
运维 Cloud Native 测试技术
极氪汽车云原生架构落地实践
随着极氪数字业务的飞速发展,背后的 IT 技术也在不断更新迭代。极氪极为重视客户对服务的体验,并将系统稳定性、业务功能的迭代效率、问题的快速定位和解决视为构建核心竞争力的基石。