《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(1) https://developer.aliyun.com/article/1231360?groupCode=aliyun_linux
背景信息
1、CSV VM启动;
2、下载加密镜像时才会通过attestation-agent将通过vm-attestation hypercall获取的包括attestation-report 、chip-id等内容的CSV VM evidence发送给verdictd server校验;
3、校验通过后virdictd才与attestation-agent建立基于rats-tls的可信硬件环境的安全通道、并将加密镜像的解密key通过该安全通道发送给attestation-agent;
4、CSV VM利用步骤3获得的解密key解密镜像,运行工作负载
步骤一:配置权限景信息
1. 关闭fifirewall
Linux系统下面自带了防火墙iptables,iptables可以设置很多安全规则。但是如果配置错误很容易导致各种网络问题。此处建议关闭fifirewall。执行如下操作:
sudo service fifirewalld stop
2. 关闭selinux
Security-Enhanced Linux(SELinux)是一个在內核中强制访问控制(MAC)安全性机制。为避免出现权限控制导致的虚拟机启动、访问失败等问题,此处建议关闭selinux。 执行如下操作:
sudo setenforce 0 sudo sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/confifig
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(3) https://developer.aliyun.com/article/1231358?groupCode=aliyun_linux