Cette page explique comment utiliser le module TPM virtuel (vTPM) dans les charges de travail de vos clusters régionaux standards Google Kubernetes Engine (GKE) confidentiels. Pour plus d'informations sur les modules vTPM, reportez-vous à la section Utiliser des nœuds GKE protégés.
Présentation
Le module vTPM des charges de travail Confidential GKE Node vous permet de créer des clusters et d'exposer des modules vTPM à leurs charges de travail. Les modules vTPM assurent l'intégrité de la plate-forme, ainsi que d'autres fonctionnalités de sécurité telles que l'attestation à distance, le scellement des secrets et la génération de nombres aléatoires.
Avant de commencer
Avant de commencer, effectuez les tâches suivantes :
- Activez l'API Google Kubernetes Engine. Activer l'API Google Kubernetes Engine
- Si vous souhaitez utiliser Google Cloud CLI pour cette tâche, installez puis initialize gcloud CLI. Si vous avez déjà installé gcloud CLI, assurez-vous de disposer de la dernière version en exécutant la commande
gcloud components update.
Conditions requises
Le module vTPM dans les charges de travail Confidential GKE Node nécessite GKE 1.26 et versions ultérieures.
Garantie de disponibilité
Vous pouvez utiliser des nœuds Confidential GKE Node dans les conditions suivantes :
Dans les zones et les régions où des instances N2D ou des instances C2D sont disponibles
Images de nœuds utilisant Container-Optimized OS avec containerd (
cos_containerd).
Créer un cluster de nœuds Confidential GKE Node
Vous pouvez créer un cluster avec des nœuds Confidential GKE Node activés à l'aide de gcloud CLI ou de la console Google Cloud. Si vous activez les nœuds Confidential GKE Node au niveau du cluster, tous les nœuds du cluster deviennent des Confidential VMs.
gcloud
Lors de la création d'un cluster, spécifiez l'option --enable-confidential-nodes dans la commande suivante :
gcloud container clusters create CLUSTER_NAME \
--machine-type=MACHINE_TYPE \
--enable-confidential-nodes
Remplacez les éléments suivants :
- CLUSTER_NAME : nom de votre nouveau cluster
- MACHINE_TYPE : type de machine du pool de nœuds par défaut de votre cluster, qui doit être le type de machine N2D ou C2D
Console
Accédez à la page Google Kubernetes Engine dans Google Cloud Console.
Cliquez sur add_box Créer.
Dans la section Standard, cliquez sur Configurer.
Dans le menu de navigation, sous Cluster, cliquez sur Sécurité.
Cochez la case Activer les nœuds Confidential GKE Node.
Pour configurer d'autres sections du cluster, suivez les instructions de la section Créer un cluster régional.
Cliquez sur Créer.
Après la création d'un cluster avec des nœuds Confidential GKE Node, les pools de nœuds créés dans ce cluster ne peuvent utiliser que des nœuds confidentiels. Vous ne pouvez pas créer de pools de nœuds standards dans des clusters où les nœuds Confidential GKE Node sont activés. Vous ne pouvez pas non plus désactiver les nœuds Confidential GKE Node sur des pools de nœuds individuels lorsque vous activez les nœuds Confidential GKE Node au niveau du cluster.
Exécuter un vTPM dans les charges de travail Confidential GKE Node
Pour exécuter vTPM dans des charges de travail Confidential GKE Node, Google fournit un DaemonSet à appliquer aux clusters Confidential GKE Node. Exécutez la commande suivante pour déployer le DaemonSet :
kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml
Configurer les pods pour afficher le module vTPM
Vous devez utiliser une limite de ressources pour configurer les pods afin qu'ils voient vTPM. Définissez la limite de ressources sur 1 dans une spécification de pod à l'aide de la paire clé/valeur suivante :
- Clé :
google.com/cc - Valeur : 1
Exemple de spécification de pod utilisant vTPM :
apiVersion: v1
kind: Pod
metadata:
name: my-vtpm-pod
spec:
containers:
- name: nginx
image: nginx
ports:
- containerPort: 8080
name: http
resources:
limits:
google.com/cc: 1
Étapes suivantes
- Apprenez-en plus sur le module Virtual Trusted Platform Module.