Halaman ini diterjemahkan oleh Cloud Translation API.

Menjalankan vTPM di workload Confidential GKE Node

Standard

Halaman ini menunjukkan cara menggunakan Virtual Trusted Platform Module (vTPM) di workload cluster regional Confidential Google Kubernetes Engine (GKE) Anda. Untuk informasi lebih lanjut tentang vTPM, lihat Menggunakan Node GKE yang Terlindungi.

Ringkasan

Dengan vTPM di workload Confidential GKE Node, Anda dapat membuat cluster dan mengekspos vTPM ke workload-nya. vTPM memberikan integritas platform bersama dengan fitur keamanan lainnya seperti pengesahan jarak jauh, penyegelan rahasia, dan pembuatan angka acak.

Sebelum memulai

Sebelum memulai, pastikan Anda telah menjalankan tugas berikut:

Aktifkan Google Kubernetes Engine API.

Aktifkan Google Kubernetes Engine API

Jika ingin menggunakan Google Cloud CLI untuk tugas ini, instal lalu initialize gcloud CLI. Jika sebelumnya Anda telah menginstal gcloud CLI, dapatkan versi terbaru dengan menjalankan gcloud components update.
Catatan: Untuk penginstalan gcloud CLI yang ada, pastikan untuk menyetel properti compute/region dan compute/zone. Dengan menyetel lokasi default, Anda dapat menghindari error di gcloud CLI yang seperti ini: One of [--zone, --region] must be supplied: Please specify location.

Persyaratan

vTPM di workload Confidential GKE Nodes memerlukan versi GKE 1.26 dan yang lebih baru.

Ketersediaan

Anda dapat menggunakan Confidential GKE Node dalam kondisi berikut:

Di zona dan region yang tersedia instance N2D atau instance C2D.
Node image menggunakan Container-Optimized OS dengan container (cos_containerd).

Membuat cluster Confidential GKE Node

Anda dapat membuat cluster baru dengan Confidential GKE Node yang diaktifkan menggunakan gcloud CLI atau Konsol Google Cloud. Jika Anda mengaktifkan Confidential GKE Node di level cluster, semua node di cluster akan menjadi Confidential VMs.

gcloud

Saat membuat cluster baru, tentukan opsi --enable-confidential-nodes dalam perintah berikut:

gcloud container clusters create CLUSTER_NAME \
    --machine-type=MACHINE_TYPE \
    --enable-confidential-nodes

Ganti kode berikut:

CLUSTER_NAME: nama cluster baru.
MACHINE_TYPE: jenis mesin untuk kumpulan node default cluster Anda, yang harus berupa jenis mesin N2D atau C2D.

Konsol

Buka halaman Google Kubernetes Engine di konsol Google Cloud.

Buka Google Kubernetes Engine
Klik Create.
Di bagian Standard, klik Configure.
Di menu navigasi, pada bagian Cluster, klik Security.
Centang kotak Aktifkan Confidential GKE Node.
Untuk mengonfigurasi bagian lain dari cluster, ikuti petunjuk di bagian Membuat cluster regional.
Klik Create.

Setelah membuat cluster dengan Confidential GKE Node, semua node pool yang dibuat di cluster ini hanya dapat menggunakan node rahasia. Anda tidak dapat membuat node pool reguler di cluster yang mengaktifkan Confidential GKE Node. Anda juga tidak dapat menonaktifkan Confidential GKE Node di masing-masing kumpulan node saat mengaktifkan Confidential GKE Node di level cluster.

Menjalankan vTPM di workload Confidential GKE Node

Untuk menjalankan vTPM di workload Confidential GKE Node, Google menyediakan DaemonSet untuk diterapkan ke cluster Confidential GKE Nodes. Jalankan perintah berikut untuk men-deploy DaemonSet:

kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml

Mengonfigurasi Pod untuk melihat vTPM

Anda akan menggunakan batas resource untuk mengonfigurasi Pod agar dapat melihat vTPM. Tentukan batas resource sebagai 1 di spesifikasi Pod menggunakan pasangan nilai kunci berikut

Kunci: google.com/cc
Nilai: 1

Contoh spesifikasi Pod yang menggunakan vTPM:

apiVersion: v1
kind: Pod
metadata:
  name: my-vtpm-pod
spec:
  containers:
  - name: nginx
    image: nginx
    ports:
    - containerPort: 8080
      name: http
    resources:
      limits:
        google.com/cc: 1

Langkah selanjutnya

Pelajari Modul Platform Tepercaya Virtual lebih lanjut.