备案控制台
开发者社区 龙蜥操作系统 文章 正文

带你读《云原生机密计算最佳实践白皮书》——AMD SEV机密容器(5)

2023-05-26 124
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 带你读《云原生机密计算最佳实践白皮书》——AMD SEV机密容器(5)

《云原生机密计算最佳实践白皮书》——06运行时底座——AMD SEV机密容器(4) https://developer.aliyun.com/article/1231026?groupCode=aliyun_linux




基于online KBC运行机密容器

• 请下载支持online sev kbc 的 initrd:

wget https://mirrors.openanolis.cn/inclavare-containers/confifidential-containers-demo/bin/
ccv3-sev/initrd.run.online-sev.img -O /opt/confifidential-containers/share/kata-containers/
kata-containers-initrd-sev.img

• 自定义 policy ,请参考附录部分。

• 编辑 kata 配置文件:

kbs_ip="$(ip -o route get to 8.8.8.8 | sed -n 's/.*src \([0-9.]\+\).*/\1/p')"
sed -i 's/agent.enable_signature_verifification=false /&agent.aa_kbc_params=online_sev_kb
c::'$kbs_ip':44444/' /opt/confifidential-containers/share/defaults/kata-containers/
 confifiguration-qemu-sev.toml

• 启动 Pod

cat <<-EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
 labels:
 run: test-en-online
 name: test-en-online
spec:
 containers:
 - image: docker.io/haosanzi/busybox-v1:encrypted
 name: test-en-online
 imagePullPolicy: Always
 dnsPolicy: ClusterFirst
 restartPolicy: Never
 runtimeClassName: kata-qemu-sev
EOF

查看 pod 是否启动成功:

kubectl get po

预期结果如下:

NAME READY STATUS RESTARTS AGE
test-en-online 1/1 Running 0 146m

基于offlfflffline KBC运行加密容器

• 请下载支持offlfflffline KBC的initrd。

wget https://mirrors.openanolis.cn/inclavare-containers/confifidential-containers-demo/bin/
ccv3-sev/initrd.run.online-sev.img -O /opt/confifidential-containers/share/kata-containers/
kata-containers-initrd-sev.img

• 编辑 kata 配置文件:

kbs_ip="$(ip -o route get to 8.8.8.8 | sed -n 's/.*src \([0-9.]\+\).*/\1/p')"
sed -i 's/agent.enable_signature_verifification=false /&agent.aa_kbc_params=online_sev_kb
c::'$kbs_ip':44444/' /opt/confifidential-containers/share/defaults/kata-containers/

• 自定义 policy ,请参考附录部分。

• 启动 Pod

cat <<-EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
 labels:
 run: test-en-offlfflffline
 name: test-en-offlfflffline
spec:
 containers:
 - image: docker.io/haosanzi/busybox-v1:encrypted
 name: test-en-offlfflffline
 imagePullPolicy: Always
 dnsPolicy: ClusterFirst
 restartPolicy: Never
 runtimeClassName: kata-qemu-sev
EOF

查看 pod 是否启动成功:

kubectl get po

预期结果如下:

NAME READY STATUS RESTARTS AGE
test-en-offlfflffline 1/1 Running 0 31h




《云原生机密计算最佳实践白皮书》——06运行时底座——AMD SEV机密容器(6) https://developer.aliyun.com/article/1231023?groupCode=aliyun_linux

文章标签:
龙蜥操作系统
Perl
容器
Cloud Native
数据安全/隐私保护
关键词:
云原生计算
容器运行
云原生容器
云原生最佳实践
容器最佳实践
技术工程师
目录
相关文章
阿里云基础设施.
|
3天前
|
存储 弹性计算 Cloud Native
AutoMQ:如何基于阿里云计算与存储产品实现云原生架构升级
AutoMQ:如何基于阿里云计算与存储产品实现云原生架构升级
阿里云基础设施.
29 4
阿里云存储
|
8天前
|
存储 Cloud Native 对象存储
AutoMQ:如何基于阿里云计算与存储产品实现云原生架构升级
AutoMQ[1] 是新一代基于共享存储架构实现的云原生 Kafka。得益于其存算分离的共享存储架构,通过和阿里云合作,深度使用阿里云可靠、先进的云服务如对象存储OSS、块存储 ESSD、弹性伸缩ESS以及抢占式实例实现了相比 Apache Kafka 10倍的成本优势并且提供了自动弹性的能力。
阿里云存储
83494 5
AutoMQ:如何基于阿里云计算与存储产品实现云原生架构升级
阿里开发者
|
8天前
|
人工智能 Kubernetes Serverless
全球首款容器计算产品重磅发布,激活上云用云新范式
随着阿里云的Serverless化演进历程进入了快车道,截至2023年10月,阿里云已拥有超过40款Serverless化云产品,并推出全球首款容器计算服务ACS(Alibaba Cloud Container Compute Service,以下简称ACS)。
阿里开发者
53 4
晚风_END
|
8天前
|
Kubernetes Cloud Native 网络协议
云原生|kubernetes部署和运行维护中的错误汇总(不定时更新)
云原生|kubernetes部署和运行维护中的错误汇总(不定时更新)
晚风_END
363 0
弹性计算-百晓生
|
5月前
|
弹性计算 人工智能 Cloud Native
新开普副总裁焦征海:云原生计算基础设施助力新开普创新提速
新开普副总裁焦征海在【云服务器 & 计算服务】专场中带来了题为《云原生计算基础设施助力新开普创新提速》的主题演讲,围绕新开普业务上云之路、倚天ECS实例降本实践以及未来业务展望等相关话题展开。
弹性计算-百晓生
518 1
DevOps和k8s全栈技术
|
5月前
|
Kubernetes 监控 测试技术
阿里云容器计算服务ACS功能测试
阿里云容器计算服务ACS功能测试,结合实际测试过程,总结一些使用经验。
DevOps和k8s全栈技术
929 0
阿里云容器计算服务ACS功能测试
程序员小侯
|
6月前
|
Cloud Native Serverless 计算机视觉
Docker与Serverless计算的集成: Docker容器如何与Serverless计算结合。
集成Docker容器和Serverless计算是一种强大的方式,它结合了容器的可移植性和Serverless的自动伸缩性。在本文中,我们将深入探讨如何将这两种技术结合使用,以实现更灵活的应用程序部署方式。
程序员小侯
169 0
阿里云云原生
|
6月前
|
Kubernetes 安全 调度
深度解读:阿里云全球首发的容器计算服务 ACS 诞生背景、核心技术与应用场景
深度解读:阿里云全球首发的容器计算服务 ACS 诞生背景、核心技术与应用场景
阿里云云原生
68881 45
六月的雨在钉钉
|
6月前
|
运维 Kubernetes Serverless
容器计算服务 ACS
简述容器计算服务 ACS
六月的雨在钉钉
248 0
阿里云云原生
|
6月前
|
存储 人工智能 安全
机密计算容器前沿探索与 AI 场景应用
机密计算容器前沿探索与 AI 场景应用
阿里云云原生
454 0

龙蜥操作系统

热门文章

最新文章

  • 1
    查看linux操作系统版本:Ubuntu?Centos?还是其他?
  • 2
    【Anolis OS】龙蜥操作系统(Anolis OS) 8.6安装指南
  • 3
    Linux环境下Docker的卸载
  • 4
    Win11彻底卸载WSL2系统(去除导航窗格Linux图标)
  • 5
    数据库、OS内核安全等精彩继续!龙蜥大讲堂 5 月直播预告来袭
  • 6
    Linux版百度网盘丨直接在服务器SSH命令行中使用百度云,轻松解决数据传输和分享难题
  • 7
    Linux教程丨使用rsync在服务器中高效传输文件,断点续传快速上传下载数据
  • 8
    xenomai内核解析--xenomai与普通linux进程之间通讯XDDP(一)--实时端socket创建流程
  • 9
    E2000 UEFI使用设备树方式启动linux系统
  • 10
    Linux:使用ntpdate命令同步更新系统时间
  • 1
    MeetUp 议题征集!龙蜥邀您共同探索智能可观测运维技术
    8
  • 2
    一文了解龙蜥社区&芯片厂商研发合作模式
    14
  • 3
    「飞天技术沙龙-CentOS 迁移替换专场」开始报名!现场帮你诊断 CentOS 迁移疑难杂症
    14
  • 4
    微服务经验总结
    8
  • 5
    高性能网络SIG月度动态:两大特性合入 Linux 主线,提供高速本地通信加速及丰富的设备信息
    21
  • 6
    基于龙蜥衍生版 KeyarchOS 的 LVM 卷管理技术与实践 | 干货推荐
    17
  • 7
    浪潮信息-龙蜥技术认证上线,培训专场圆满召开
    24
  • 8
    高性能存储 SIG 月度动态:多项内核特性移植到 6.6,erofs 完成共享特性 POC
    22
  • 9
    高手竞技!中国研究生创新实践系列大赛&龙蜥赛题等你来挑战
    38
  • 10
    EtherCAT主站IgH解析(一)--主站初始化、状态机与EtherCAT报文
    49

    • 相关课程

    更多
  • 基于容器搭建企业级应用
  • 容器持久化储存训练营
  • 现代应用容器技术快速入门
  • 云计算、容器和云原生基础课程
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • 容器安全与Palo Alto Networks解决方案

    • 相关电子书

    更多
  • 阿里云文件存储 NAS 在容器场景的最佳实践
  • 何种数据存储才能助力容器计算
  • 《容器网络文件系统CNFS》

    • 相关实验场景

    更多
  • 云原生场景自动化响应ECS系统事件
  • 使用计算巢企业应用,一键获取专属的Linux服务器管理软件
  • 云原生HTAP数据库,让你的交易和分析一库搞定
  • 通过SAE实现企业应用的云上托管
  • 使用计算巢企业应用,一键获取专属图数据库服务
  • 基于ACK Serverless实现容器应用弹性伸缩
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考