Execute um vTPM em cargas de trabalho de nós confidenciais do GKE

Padrão

Nesta página, mostramos como usar o módulo de plataforma confiável virtual (vTPM) nas cargas de trabalho regionais padrão confidenciais do Google Kubernetes Engine (GKE). Para mais informações sobre vTPMs, consulte Como usar nós protegidos do GKE.

Visão geral

Com o vTPM nas cargas de trabalho de nós confidenciais do GKE, é possível criar clusters e expor vTPMs às cargas de trabalho deles. Os vTPMs oferecem integridade da plataforma com outros recursos de segurança, como atestado remoto, isolamento de segredo e geração de números aleatórios.

Antes de começar

Antes de começar, verifique se você realizou as tarefas a seguir:

Ativar a API Google Kubernetes Engine.

Ativar a API Google Kubernetes Engine

Se você quiser usar a Google Cloud CLI para essa tarefa, instale e, em seguida, inicialize a CLI gcloud. Se você instalou a CLI gcloud anteriormente, instale a versão mais recente executando gcloud components update.
Observação: para instalações atuais da CLI gcloud, defina as propriedades compute/region e compute/zone. Ao definir locais padrão, é possível evitar erros na CLI gcloud, como: One of [--zone, --region] must be supplied: Please specify location.

Requisitos

O vTPM em cargas de trabalho de nós confidenciais do GKE requer a versão 1.26 e posterior do GKE.

Disponibilidade

É possível usar os Confidential GKE Nodes nas seguintes condições:

Em zonas e regiões com instâncias N2D ou instâncias C2D disponíveis.
Imagens de nó usando o Container-Optimized OS com o containerd (cos_containerd).

Criar um cluster do Confidential GKE Nodes

É possível criar um novo cluster com o Confidential GKE Node ativado usando a CLI gcloud ou o Console do Google Cloud. Se você ativar os nós confidenciais do GKE no nível do cluster, todos os nós no cluster se tornarão VMs confidenciais.

gcloud

Ao criar um novo cluster, especifique a opção --enable-confidential-nodes no seguinte comando:

gcloud container clusters create CLUSTER_NAME \
    --machine-type=MACHINE_TYPE \
    --enable-confidential-nodes

Substitua:

CLUSTER_NAME: o nome do novo cluster.
MACHINE_TYPE: o tipo de máquina do pool de nós padrão do cluster, que precisa ser N2D ou C2D.

Console

Acesse a página Google Kubernetes Engine no console do Google Cloud.

Acessar o Google Kubernetes Engine
Clique em Criar.
Na seção Padrão, clique em Configurar.
No menu de navegação, em Cluster, clique em Segurança.
Marque a caixa de seleção Ativar o Confidential GKE Node.
Para configurar outras seções do cluster, siga as instruções em Como criar um cluster regional.
Clique em Criar.

Depois de criar um cluster com nós confidenciais do GKE, todos os pools de nós criados nele só poderão ser nós confidenciais. Não é possível criar pools de nós regulares em clusters com os Confidential GKE Nodes ativados. Também não é possível desativar os Confidential GKE Nodes em pools de nós individuais ao ativar os Confidential GKE Nodes no nível do cluster.

Execute um vTPM em cargas de trabalho de nós confidenciais do GKE

Para executar o vTPM em cargas de trabalho dos nós confidenciais do GKE, o Google fornece um DaemonSet para ser aplicado aos clusters desses nós. Execute o seguinte comando para implantar o DaemonSet:

kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml

Configure pods para ver o vTPM

Use um limite de recurso para configurar pods para ver vTPM. Especifique o limite de recursos como 1 em uma especificação de pod usando o seguinte par de chave-valor

Chave: google.com/cc
Valor 1

Um exemplo de especificação de pod que usa vTPM:

apiVersion: v1
kind: Pod
metadata:
  name: my-vtpm-pod
spec:
  containers:
  - name: nginx
    image: nginx
    ports:
    - containerPort: 8080
      name: http
    resources:
      limits:
        google.com/cc: 1

A seguir

Saiba mais sobre o módulo de plataforma confiável virtual.