备案控制台
开发者社区 龙蜥操作系统 文章 正文

带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(5)

2023-05-26 175
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 带你读《云原生机密计算最佳实践白皮书》——基于runtime-attestation使用机密容器(5)

《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(4) https://developer.aliyun.com/article/1231357?groupCode=aliyun_linux



步骤六:制作加密镜像

1. 制作加密镜像

可参考Generate encrypted container image制作加密镜像。 在本例中以 docker.io/zhouliang121/alpine-84688df7-2c0c-40fa-956b-29d8e74d16c1-gcm:latest 为例进行测试。

注意事项:在机密计算场景中,加密镜像是在guest VM中由imgae-rs 组件负责拉取,而不是在host进行拉取。 如果您出于研究的目的,想查看加密镜像的内容。请注意由于镜像是加密的,用常规的 docker ,ctr 和 crictl 都无法正常拉取。请使用skopeo工具进行镜像的拉取。参考命令如下:

skopeo --insecure-policy copy docker://docker.io/zhouliang121/alpine-84688df7-2c0c-40
fa-956b-29d8e74d16c1-gcm:latest oci:test

2. 部署镜像密钥

mkdir -p /opt/verdictd/keys/ && echo 1111111111111111111111111111111 > /opt/
verdictd/keys/84688df7-2c0c-40fa-956b-29d8e74d16c1

3. 修改镜像policy

以docker.io/zhouliang121/alpine-84688df7-2c0c-40fa-956b-29d8e74d16c1-gcm:latest 为例:

cat <<EOF | sudo tee /opt/verdictd/image/policy.json
{
 "default": [{"type": "insecureAcceptAnything"}],
 "transports": {
 "docker": {
 "docker.io/zhouliang121/":
 [{"type": "insecureAcceptAnything"}]
 }
 }
}
EOF

4. 启动verdictd

verdictd --listen 0.0.0.0:20002 --verififier csv --attester nullattester --client-api 127.0.0.1:20001
--mutual

当Verdictd启动后,Verdictd在端口监听地址0.0.0.0:20002监听来自attestation agent的远程证明请求。

注意:verdictd 启动的时候有一个报错。原因是在注册SGX相关的 instance时出错,在CSV平台上可以忽

略。

[ERROR] failed on dlopen(): libsgx_dcap_quoteverify.so.1: cannot open shared object fifile: No 
such fifile or directory


步骤七:部署加密镜像

1. 创建RuntimeClass对象kata

用户可以使用RuntimeClass为pod指定不同的运行时,这里使用kata作为验证时使用的运行时。

在集群中执行以下命令,创建RuntimeClass对象kata。

cat <<-EOF | kubectl apply -f -
apiVersion: node.k8s.io/v1
kind: RuntimeClass
metadata:
 name: kata
handler: kata
EOF

2. 部署pod

如果 pod 的 runtimeClassName 设置为 kata,CRI 插件会使用 Kata Containers 运行时运行 pod。 执行

以下命令,部署名称为alpine的pod。

cat <<-EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
 name: nginx-sandbox
spec:
 runtimeClassName: kata
 containers:
 - image: docker.io/zhouliang121/alpine-84688df7-2c0c-40fa-956b-29d8e74d16c1-gcm:latest
 command:
 - top
imagePullPolicy: IfNotPresent
name: alpine
restartPolicy: Never
EOF

3. 测试加密镜像是否部署成功

执行以下命令,查看加密镜像是否部署成功:

kubectl get pods

预期输出:

NAME READY STATUS RESTARTS AGE
nginx-sandbox 1/1 Running 0 30s


文章标签:
龙蜥操作系统
密钥管理服务
Perl
容器
Cloud Native
搜索推荐
数据安全/隐私保护
Docker
关键词:
云原生容器
容器云原生
容器计算
容器运行
容器最佳实践
技术工程师
目录
相关文章
一只牛博
|
18天前
|
存储 安全 Linux
Podman入门全指南:安装、配置与运行容器
Podman入门全指南:安装、配置与运行容器
一只牛博
162 1
众所周知
|
25天前
|
存储 Kubernetes Cloud Native
【阿里云云原生专栏】云原生容器存储:阿里云CSI与EBS的高效配合策略
【5月更文挑战第29天】阿里云提供云原生容器存储接口(CSI)和弹性块存储(EBS)解决方案,以应对云原生环境中的数据存储挑战。CSI作为Kubernetes的标准接口简化存储管理,而EBS则提供高性能、高可靠性的块存储服务。二者协同实现动态供应、弹性伸缩及数据备份恢复。示例代码展示了在Kubernetes中使用CSI和EBS创建存储卷的过程。
众所周知
157 3
肥猪肥猪-17824
|
1月前
|
运维 Kubernetes Cloud Native
构建高效云原生运维体系:Kubernetes最佳实践
【5月更文挑战第9天】 在动态和快速演变的云计算环境中,高效的运维是确保应用稳定性与性能的关键。本文将深入探讨在Kubernetes环境下,如何通过一系列最佳实践来构建一个高效且响应灵敏的云原生运维体系。文章不仅涵盖了容器化技术的选择与优化、自动化部署、持续集成/持续交付(CI/CD)流程的整合,还讨论了监控、日志管理以及灾难恢复策略的重要性。这些实践旨在帮助运维团队有效应对微服务架构下的复杂性,确保系统可靠性及业务的连续性。
肥猪肥猪-17824
77 0
今天是几号
|
3天前
|
Cloud Native 安全 Docker
云上攻防-云原生篇&Docker安全&系统内核&版本&CDK自动利用&容器逃逸
云上攻防-云原生篇&Docker安全&系统内核&版本&CDK自动利用&容器逃逸
今天是几号
17 5
今天是几号
|
3天前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
今天是几号
14 3
阿里云存储
|
1月前
|
存储 Cloud Native 对象存储
AutoMQ:如何基于阿里云计算与存储产品实现云原生架构升级
AutoMQ[1] 是新一代基于共享存储架构实现的云原生 Kafka。得益于其存算分离的共享存储架构,通过和阿里云合作,深度使用阿里云可靠、先进的云服务如对象存储OSS、块存储 ESSD、弹性伸缩ESS以及抢占式实例实现了相比 Apache Kafka 10倍的成本优势并且提供了自动弹性的能力。
阿里云存储
83863 19
AutoMQ:如何基于阿里云计算与存储产品实现云原生架构升级
源码星辰
|
22天前
|
Kubernetes 负载均衡 Cloud Native
云原生架构之容器技术
容器作为标准化软件单元,它将应用及其所有依赖项打包,使应用不再受环境限制,在不同计算环境间快速、可靠地运行。
源码星辰
51 9
玉米侠爱吃玉米
|
22天前
|
Docker 容器
docker: 如何不新建容器 修改运行容器的端口
docker: 如何不新建容器 修改运行容器的端口
玉米侠爱吃玉米
72 1
肥猪肥猪-17824
|
25天前
|
运维 Kubernetes Cloud Native
构建高效云原生应用:采用微服务架构与容器化技术
【5月更文挑战第28天】 在当今数字化转型的浪潮中,企业正迅速采纳云原生技术以保持竞争力。本文深入探讨了构建高效云原生应用的关键要素,重点分析了微服务架构和容器化技术如何共同推动应用的敏捷性、可扩展性和可靠性。通过具体案例分析,揭示了这些技术在实际业务场景中的应用效果及其带来的显著改进。
肥猪肥猪-17824
40 1
历年考试不作弊
|
28天前
|
运维 监控 Cloud Native
构建高效云原生应用:容器化与微服务架构的融合
【5月更文挑战第26天】 在数字化转型的浪潮中,企业正迅速将重心转向云原生技术以支撑其业务灵活性和扩展性。本文深入探讨了如何通过结合容器化技术和微服务架构来构建和维护高效的云原生应用。首先概述了云原生的核心概念及其带来的优势,接着详细分析了容器化技术的关键作用以及微服务架构的设计原则。文章还展示了如何通过持续集成/持续部署(CI/CD)流程实现快速迭代,并通过实际案例说明如何应对分布式系统带来的复杂性挑战。最终,文中提出了一系列优化策略,旨在帮助开发者和运维人员提高系统的可靠性、安全性和性能。
历年考试不作弊
52 3

龙蜥操作系统

热门文章

最新文章

  • 1
    zabbix 3.2 编译安装
  • 2
    查看linux操作系统版本:Ubuntu?Centos?还是其他?
  • 3
    Linux环境下Docker的卸载
  • 4
    Linux版百度网盘丨直接在服务器SSH命令行中使用百度云,轻松解决数据传输和分享难题
  • 5
    Linux进程查看与控制:掌握ps、top、kill等关键命令
  • 6
    Linux教程丨使用rsync在服务器中高效传输文件,断点续传快速上传下载数据
  • 7
    Could not fetch/save url http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repoError 403
  • 8
    Win11彻底卸载WSL2系统(去除导航窗格Linux图标)
  • 9
    在Linux服务器上安装EMQX平台:构建高性能的开源物联网消息中间件
  • 10
    【Anolis OS】龙蜥操作系统(Anolis OS) 8.6安装指南
  • 1
    探索Linux命令nice:优雅地调整进程优先级
    12
  • 2
    探索Linux命令newuidmap:用户ID映射的利器
    6
  • 3
    探索Linux命令newgidmap:用户命名空间与GID映射的桥梁
    14
  • 4
    深入理解Linux命令:newgrp
    11
  • 5
    探索Linux命令newgidmap:用户命名空间与GID映射的桥梁
    7
  • 6
    探索Linux命令needs-restarting:了解哪些服务需要重启
    11
  • 7
    探索Linux中的mv命令:文件移动的利器
    17
  • 8
    探索Linux中的namei命令:文件路径解析的利器
    20
  • 9
    探索Linux中的`mountpoint`命令
    25
  • 10
    探索Linux中的`mount`命令
    12

    • 相关课程

    更多
  • 云原生基础概念及阿里云云原生产品介绍
  • CNCF Alibaba 云原生技术公开课
  • Kubernetes云原生管理实践
  • 阿里云云原生数据仓库AnalyticDB MySQL版 使用教程
  • ALPD云架构师系列 - 云原生DevOps36计
  • 云开发平台快速开发部署云原生应用

    • 相关电子书

    更多
  • 安永云原生创新驱动力实践探索
  • 云原生加速数字创新的新质生产力
  • 为创新提速,打造智算时代的云原生应用平台

    • 相关实验场景

    更多
  • 云原生场景自动化响应ECS系统事件
  • 云原生HTAP数据库,让你的交易和分析一库搞定
  • 通过SAE实现企业应用的云上托管
  • 云原生AI套件:五分钟微调宝可梦风格StableDiffusion
  • 云原生AI套件:一键训练大模型及部署GPU共享推理服务
  • 基于ACK Serverless实现容器应用弹性伸缩
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考