Questa pagina mostra come utilizzare il Virtual Trusted Platform Module (vTPM) in dei tuoi cluster a livello di regione Confidential Google Kubernetes Engine (GKE) Standard carichi di lavoro con scale out impegnativi. Per Per ulteriori informazioni sulle vTPM, consulta Utilizzo dei nodi GKE schermati.
Panoramica
Con vTPM in Confidential GKE Node carichi di lavoro, puoi creare cluster ed esporre vTPM ai relativi carichi di lavoro. vTPMs forniscono l'integrità della piattaforma insieme ad altre funzionalità di sicurezza come l'attestazione, la chiusura dei secret e la generazione di numeri casuali.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti attività:
- Attiva l'API Google Kubernetes Engine. Abilita l'API Google Kubernetes Engine .
- Se vuoi utilizzare Google Cloud CLI per questa attività,
install e poi
inizializzare
con gcloud CLI. Se hai già installato gcloud CLI, scarica la versione più recente
eseguendo
gcloud components update
.
Requisiti
vTPM nei carichi di lavoro di Confidential GKE Node richiede la versione di GKE 1.26 e versioni successive.
Disponibilità
Puoi utilizzare Confidential GKE Node nelle seguenti condizioni:
In zone e regioni con istanze N2D o Istanze C2D disponibili.
Immagini dei nodi utilizzando Container-Optimized OS con containerd (
cos_containerd
).
Crea un cluster Confidential GKE Node
Puoi creare un nuovo cluster con Confidential GKE Node abilitati utilizzando gcloud CLI o la console Google Cloud. Se attivi Confidential GKE Node a livello di cluster, tutti i nodi nel cluster diventano Confidential VM.
gcloud
Quando crei un nuovo cluster, specifica l'opzione --enable-confidential-nodes
nel seguente comando:
gcloud container clusters create CLUSTER_NAME \
--machine-type=MACHINE_TYPE \
--enable-confidential-nodes
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del nuovo cluster.
- MACHINE_TYPE: il tipo di macchina per il cluster pool di nodi predefinito, che deve essere di tipo di macchina N2D o C2D.
Console
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Fai clic su add_box Crea.
Nella sezione Standard, fai clic su Configura.
Nel menu di navigazione, in Cluster, fai clic su Sicurezza.
Seleziona la casella di controllo Abilita Confidential GKE Node.
Per configurare altre sezioni del cluster, segui le istruzioni in Creazione di un cluster a livello di regione.
Fai clic su Crea.
Dopo aver creato un cluster con Confidential GKE Node, tutti i pool di nodi creati in questo cluster possono usare solo nodi riservati. Non puoi creare pool di nodi normali in cluster in cui sono abilitati Confidential GKE Node. Tu inoltre non può disabilitare Confidential GKE Node su singoli pool di nodi quando abiliti Confidential GKE Node a livello di cluster.
Esegui un vTPM nei carichi di lavoro di Confidential GKE Node
Per eseguire vTPM nei carichi di lavoro di Confidential GKE Node, Google fornisce una DaemonSet da applicare ai cluster Confidential GKE Node. Esegui l' seguente per eseguire il deployment del DaemonSet:
kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml
Configura i pod per visualizzare il vTPM
Puoi utilizzare un limite di risorse per configurare i pod in modo che vTPM, Specifica il limite di risorse su 1 in una specifica di pod utilizzando la seguente coppia chiave-valore
- Chiave:
google.com/cc
- Valore: 1
Esempio di specifica di un pod che utilizza vTPM:
apiVersion: v1
kind: Pod
metadata:
name: my-vtpm-pod
spec:
containers:
- name: nginx
image: nginx
ports:
- containerPort: 8080
name: http
resources:
limits:
google.com/cc: 1
Passaggi successivi
- Scopri di più sul Virtual Trusted Platform Module.