《云原生机密计算最佳实践白皮书》——06运行时底座——Intel TDX机密容器(1) https://developer.aliyun.com/article/1231174?groupCode=aliyun_linux
步骤一:部署测试集群
本步骤为您提供快速部署单节点测试集群的步骤。您可以根据您的需求,灵活部署集群。
配置权限
关闭fifirewall
Linux系统下面自带了防火墙 iptables ,iptables 可以设置很多安全规则。但是如果配置错误很容易导致
各种网络问题。此处建议关闭 fifirewall 。 执行如下操作:
sudo service fifirewalld stop
检查 fifirewall 状态:
service fifirewalld status
预期结果如下:
Redirecting to /bin/systemctl status fifirewalld.service ● fifirewalld.service - fifirewalld - dynamic fifirewall daemon Loaded: loaded (/usr/lib/systemd/system/fifirewalld.service; disabled; vendor preset: enabled) Active: inactive (dead) Docs: man:fifirewalld(1)
关闭selinux
Security-Enhanced Linux(SELinux)是一个在内核中实施的强制存取控制(MAC)安全性机制。为避免出现权限控制导致的虚拟机启动、访问失败等问题,此处建议关闭selinux。执行如下操作:
setenforce 0
预期结果如下:
setenforce: SELinux is disabled
配置containerd
自动生成默认的confifig.toml
containerd confifig default > /etc/containerd/confifig.toml
由于默认的 confifig.toml 使用的是国外的镜像,国内有可能无法访问。请参考以下命令修改为国内镜像。
cd /etc/containerd sed -i 's#registry.k8s.io/pause:3.6#registry.cn-hangzhou.aliyuncs.com/google_containers/ pause:3.1#g' confifig.toml
启动 containerd
systemctl containerd start
部署单节点的Kubernetes cluster
• 请参考kubernetes官方指南安装Kubernetes cluster。最低 Kubernetes 版本应为 1.24。
• 确保集群中至少有一个 Kubernetes 节点具有标签 node-role.kubernetes.io/worker=
kubectl label node <node-name> node-role.kubernetes.io/worker=
《云原生机密计算最佳实践白皮书》——06运行时底座——Intel TDX机密容器(3) https://developer.aliyun.com/article/1231169?groupCode=aliyun_linux
