AI 助理
文档备案控制台
开发者社区 龙蜥操作系统 文章 正文

带你读《云原生机密计算最佳实践白皮书》——Intel TDX机密容器(3)

2023-05-26 412
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 带你读《云原生机密计算最佳实践白皮书》——Intel TDX机密容器(3)

《云原生机密计算最佳实践白皮书》——06运行时底座——Intel TDX机密容器(2) https://developer.aliyun.com/article/1231170?groupCode=aliyun_linux



步骤二:安装Confifidential computing Operator

Confifidential computing Operator 提供了一种在 Kubernetes 集群上部署和管理 Confifidential Containers Runtime 的方法。具体信息请参考指南。

前提条件

1、确保 Kubernetes 集群节点至少有 8GB RAM 和 4 个 vCPU

2、当前 CoCo 版本仅支持基于 containerd 运行时的 Kubernetes 集群

3、确保 SELinux 被禁用或未强制执行 (confifidential-containers/operator#115)

部署Operator

Operator目前有3个版本,这里默认安装最新版v0.3.0版本。 通过运行以下命令部署Operator:

kubectl apply -k github.com/confifidential-containers/operator/confifig/release?ref=v0.3.0

cc-operator-controller-manager 资源依赖国外的镜像,可能拉不下来,请参考以下步骤对镜像进行修改:

kubectl edit deploy cc-operator-controller-manager -n confifidential-containers-system
# 将gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0替换成
image: quay.io/brancz/kube-rbac-proxy:v0.13.0

查看节点状态:

kubectl get pods -n confifidential-containers-system --watch

预期结果如下。注意这三个pod都要存在,且STATUS都要为Running。

NAME READY STATUS RESTARTS AGE
cc-operator-controller-manager-56cb4d5ffff5-lqd9x 2/2 Running 0 167m
cc-operator-daemon-install-rg8s9 1/1 Running 0 154m
cc-operator-pre-install-daemon-7jhnw 1/1 Running 0 154m

创建custom resource

创建 custom resource 会将所需的 CC runtime安装到集群节点中并创建 RuntimeClasses。操作如下:

kubectl apply -k github.com/confifidential-containers/operator/confifig/samples/ccruntime/
default?ref=v0.3.0

检查创建的 RuntimeClasses。

kubectl get runtimeclass

预期结果如下:

NAME HANDLER AGE
kata kata 154m
kata-clh kata-clh 154m
kata-clh-tdx kata-clh-tdx 154m
kata-qemu kata-qemu 154m
kata-qemu-sev kata-qemu-sev 154m
kata-qemu-tdx kata-qemu-tdx 154m

卸载Operator(非必要步骤)

如果您想更新Operator的版本,或者您的安装出现问题,可以先卸载,再回到上面的步骤重新安装。具体

操作请参考链接。

kubectl delete -k github.com/confifidential-containers/operator/confifig/samples/ccruntime/default?
ref=<RELEASE_VERSION>
kubectl delete -k github.com/confifidential-containers/operator/confifig/release?ref=$
{RELEASE_VERSION}




《云原生机密计算最佳实践白皮书》——06运行时底座——Intel TDX机密容器(4) https://developer.aliyun.com/article/1231168?groupCode=aliyun_linux

文章标签:
龙蜥操作系统
Perl
容器
Cloud Native
Kubernetes
关键词:
云原生计算
云原生容器
intel tdx
容器运行
云原生最佳实践
技术工程师
目录
相关文章
爱的不是纯牛奶-47754
|
Kubernetes 监控 开发者
掌握容器化:Docker与Kubernetes的最佳实践
【10月更文挑战第26天】本文深入探讨了Docker和Kubernetes的最佳实践,涵盖Dockerfile优化、数据卷管理、网络配置、Pod设计、服务发现与负载均衡、声明式更新等内容。同时介绍了容器化现有应用、自动化部署、监控与日志等开发技巧,以及Docker Compose和Helm等实用工具。旨在帮助开发者提高开发效率和系统稳定性,构建现代、高效、可扩展的应用。
爱的不是纯牛奶-47754
520 3
土木林森
|
存储 监控 安全
【专栏】探讨Docker Compose的核心概念、使用方法及最佳实践,助你轻松驾驭容器编排的世界
【4月更文挑战第27天】Docker Compose是款轻量级容器编排工具,通过YAML文件统一管理多容器应用。本文分三部分深入讨论其核心概念(服务、网络、卷和配置)、使用方法及最佳实践。从快速入门到高级特性,包括环境隔离、CI/CD集成、资源管理和安全措施。通过案例分析展示如何构建多服务应用,助力高效容器编排与管理。
土木林森
864 2
东风微鸣技术博客
|
消息中间件 监控 NoSQL
容器化应用系统上生产的最佳实践
容器化应用系统上生产的最佳实践
东风微鸣技术博客
176 0
东风微鸣技术博客
|
Kubernetes Java 应用服务中间件
制作容器镜像的最佳实践
制作容器镜像的最佳实践
东风微鸣技术博客
432 0
探索云世界动手实践
|
人工智能 安全 API
容器化AI模型的安全防护实战:代码示例与最佳实践
本文基于前文探讨的容器化AI模型安全威胁,通过代码示例展示如何在实际项目中实现多层次的安全防护措施。以一个基于TensorFlow的图像分类模型为例,介绍了输入验证、模型加密、API认证和日志记录的具体实现方法,并结合最佳实践,如使用安全容器镜像、限制权限、网络隔离等,帮助构建更安全的AI服务。
探索云世界动手实践
373 6
技术内容小助手
|
人工智能 运维 监控
容器服务Kubernetes场景下可观测体系生产级最佳实践
阿里云容器服务团队在2024年继续蝉联Gartner亚洲唯一全球领导者象限,其可观测体系是运维的核心能力之一。该体系涵盖重保运维、大规模集群稳定性、业务异常诊断等场景,特别是在AI和GPU场景下提供了全面的观测解决方案。通过Tracing、Metric和Log等技术,阿里云增强了对容器网络、存储及多集群架构的监控能力,帮助客户实现高效运维和成本优化。未来,结合AI助手,将进一步提升问题定位和解决效率,缩短MTTR,助力构建智能运维体系。
技术内容小助手
631 4
技术内容小助手
|
Kubernetes 安全 数据安全/隐私保护
云卓越架构:容器安全最佳实践
本次分享由阿里云智能集团解决方案架构师张玉峰主讲,主题为“云卓越架构:容器安全最佳实践”。内容涵盖容器安全的挑战、云原生容器安全架构及典型场景。首先分析了容器安全面临的问题,如镜像漏洞和权限管理。接着介绍了容器安全架构的五个维度:身份权限管理、配置安全检查、运行时防护、镜像安全检测及发布的安全管控。最后通过具体场景展示了容器身份与权限管理、密钥管理、运行时防入侵等最佳实践,强调了安全左移的重要性,确保从开发到运行的全生命周期安全覆盖。
技术内容小助手
481 4
爱的不是纯牛奶-47754
|
缓存 监控 测试技术
掌握容器化持续集成/持续部署(CI/CD)的最佳实践
【10月更文挑战第8天】本文介绍了容器化持续集成/持续部署(CI/CD)的最佳实践,涵盖容器化CI/CD的概念、优势和实施步骤。通过使用容器技术,可以实现环境一致性、快速迭代和易于扩展,提高软件开发的效率和可靠性。文章还详细讨论了编写高效的Dockerfile、自动化测试、安全性、监控和日志管理等方面的最佳实践。
爱的不是纯牛奶-47754
518 1
呆呆宝
|
Kubernetes 安全 Serverless
Kubernetes云原生问题之在Serverless Container中,Pod运行如何解决
Kubernetes云原生问题之在Serverless Container中,Pod运行如何解决
呆呆宝
215 6
土木林森
|
监控 安全 数据库
【Docker专栏】Docker容器化应用的最佳实践
【5月更文挑战第7天】本文介绍了 Docker 容器化应用的关键最佳实践,包括使用官方基础镜像、保持镜像精简、以非 root 用户运行容器、安全扫描、编写高效 Dockerfile、环境隔离、使用数据卷、选择合适网络模式、设置资源限制、使用版本标签、容器编排以及文档和自动化部署。遵循这些实践可提升效率和安全性,同时要注意随着技术发展不断更新知识。
土木林森
490 10
【Docker专栏】Docker容器化应用的最佳实践

龙蜥操作系统

热门文章

最新文章

  • 1
    Win11彻底卸载WSL2系统(去除导航窗格Linux图标)
  • 2
    龙蜥操作系统:CentOS 谢幕之后,国产云原生系统的崛起之路
  • 3
    Linux环境下Docker的卸载
  • 4
    linux中安装node,npm和yarn
  • 5
    大语言模型工作原理和工作流程
  • 6
    查看linux操作系统版本:Ubuntu?Centos?还是其他?
  • 7
    Linux `sudo apt update`和`sudo apt upgrade`命令的作用和使用方法
  • 8
    【NodeJS】GLIBC_2.28 not found CentOS7不兼容Node高版本
  • 9
    Linux版百度网盘丨直接在服务器SSH命令行中使用百度云,轻松解决数据传输和分享难题
  • 10
    【Anolis OS】龙蜥操作系统(Anolis OS) 8.6安装指南
  • 1
    直播预告:Anolis OS 如何与 Intel TDX 携手共筑 AI Agent 隐私防线
    65
  • 2
    RISC-V 基金会 Data Center SIG 第七次会议圆满结束,研讨硬件加速机制
    111
  • 3
    告别云原生内存黑盒:SysOM MCP助力ACK AI助手智能运维实践
    136
  • 4
    新年小惊喜!龙蜥之旅五周年特辑上线啦,解锁你的社区足迹
    102
  • 5
    线上观看人次18万+!智算技术沙龙圆满落幕(附 PPT 下载)
    135
  • 6
    两大委员会1月工作会议召开:运营年度回顾、研发协同机制优化等事项同步
    86
  • 7
    开放代理式人工智能基金会正式成立,龙蜥联合发起共建智能体时代生态
    120
  • 8
    龙蜥社区第七届理事大会召开,丁津泰、包云岗、章文嵩等专家加入第二届顾问团
    328
  • 9
    产学研共话 AI Infra:龙蜥智算联盟探索大模型全场景落地新路径
    121
  • 10
    2025 年度回顾|龙蜥这一年:AI 领航,生态共荣
    94

    • 相关课程

    更多
  • 基于容器搭建企业级应用
  • 容器持久化储存训练营
  • 现代应用容器技术快速入门
  • 云计算、容器和云原生基础课程
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • 容器安全与Palo Alto Networks解决方案

    • 相关电子书

    更多
  • 使用CNFS搭建弹性Web服务
  • 阿里云文件存储 NAS 在容器场景的最佳实践
  • 何种数据存储才能助力容器计算
    • 下一篇
    体检通知:阿里云2026年度云上安全健康体检即将开启!