开发者社区> 技术工程师> 正文

《云原生机密计算最佳实践白皮书》——06运行时底座——Intel TDX机密容器(5)

简介: 《云原生机密计算最佳实践白皮书》——06运行时底座——Intel TDX机密容器(5)
+关注继续查看

《云原生机密计算最佳实践白皮书》——06运行时底座——Intel TDX机密容器(4) /article/1231168?groupCode=aliyun_linux




步骤四:启动并验证带签名的加密镜像

1. 配置TDX CoCo runtime

attestation agent 支持TDX平台的KBC为:eaa_kbc , 远端verdictd service用于提供验证和image解密

key,签名的policy和密钥信息。

vim /opt/confifidential-containers/share/defaults/kata-containers/confifiguration-qemu-tdx.
toml
# EAA KBC is specifified as: eaa_kbc::host_ip:port
kernel_params = "<default kernel params> agent.aa_kbc_params=eaa_kbc::verdictd_ip_ad
dress:20002
agent.enable_signature_verifification=true"

2. 部署Pod

注意:在实际操作中,应将用户docker.io/test更名为实际操作的用户名,docker.io/xxxx。

cat <<-EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
 name: test-tdx-alpine
spec:
 runtimeClassName: kata-qemu-tdx
 containers:
 - image: docker.io/test/alpine-encrypted
 command:
 - top
 imagePullPolicy: Always
 name: test-tdx-alpine
 restartPolicy: Never
EOF

? 查看 pod 是否启动成功:

kubectl get po

? 预期结果如下:

NAME READY STATUS RESTARTS AGE
test-tdx-alpine 1/1 Running 0 31h
kubectl describe pod test-tdx-alpine
 Normal Pulling 5s kubelet Pulling image " docker.io/test/alpine-encrypted "
 Normal Pulled 3s kubelet Successfully pulled image " docker.io/test/alpine-encrypted " 
in 1.682344015s (1.682349283s including waiting)
 Normal Created 3s kubelet Created container test-tdx-alpine
 Normal Started 3s kubelet Started container test-tdx-alpine
·
# verdictd 日志
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::rats_tls] response: {"data":{"base64
size":"452"},"status":"OK"}
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::protocol] Request: Object {"command": 
String("Get Policy"), "optional": Object {}}
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::rats_tls] response: ewogICAgImRlZmF
1bHQiOiBbCiAgICAgICAgewogICAgICAgICAgICAidHlwZSI6ICJyZWplY3QiCiAgICAgICAgfQogICAgXSw
KICAgICJ0cmFuc3BvcnRzIjogewogICAgICAgICJkb2NrZXIiOiB7CiAgICAgICAgICAgICJyZWdpc3RyeS5kb
21haW4ubG9jYWwiOiBbCiAgICAgICAgICAgICAgICB7CiAgICAgICAgICAgICAgICAgICAgInR5cGUiOiAic2
lnc3RvcmVTaWduZWQiLAogICAgICAgICAgICAgICAgICAgICJrZXlQYXRoIjogIi9ydW4vaW1hZ2Utc2VjdXJ
pdHkvY29zaWduL2Nvc2lnbi5wdWIiCiAgICAgICAgICAgICAgICB9CiAgICAgICAgICAgIF0KICAgICAgICB9
CiAgICB9Cn0K
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::protocol] Request: Object {"command": 
String("Get Resource Info"), "name": String("Cosign Key")}
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::rats_tls] response: {"data":{"base64
size":"240"},"status":"OK"}
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::protocol] Request: Object {"command": 
String("Get Cosign Key"), "optional": Object {}}
[2023-03-01T08:19:45Z INFO verdictd::attestation_agent::rats_tls] response: LS0tLS1CRUdJTiBQVU
JMSUMgS0VZLS0tLS0KTUZrd0V3WUhLb1pJemowQ0FRWUlLb1pJemowRE
FRY0RRZ0FFZ3h6NWhEVXl6VnpFd2RVcnhZb1JQVE1pN0ZveQovVEI4OTVlbmt
MdzE4RHNLczR1MnFidHg1L1hJNVlKaUJ4TDhyZG9NL3A5clBQSHVDVV
dpSkxBSFVnPT0KLS0tLS1FTkQgUFVCTElDIEtFWS0tLS0tCg==EOF


版权声明:本文内容由便宜云服务器实名注册用户自发贡献,版权归原作者所有,便宜云服务器开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《便宜云服务器开发者社区用户服务协议》和《便宜云服务器开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(1)
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(1)
34 0
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(2)
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(2)
18 0
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(3)
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(3)
18 0
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(4)
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(4)
17 0
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(5)
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用机密容器(5)
18 0
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于pre-attestation使用机密容器(1)
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于pre-attestation使用机密容器(1)
24 0
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于pre-attestation使用机密容器(2)
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于pre-attestation使用机密容器(2)
21 0
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用签名容器(1)
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用签名容器(1)
25 0
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用签名容器(3)
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密容器——基于runtime-attestation使用签名容器(3)
15 0
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密虚拟机(1)
《云原生机密计算最佳实践白皮书》——06运行时底座——海光CSV机密虚拟机(1)
28 0
+关注
技术工程师
文章
问答
视频
来源圈子
更多
欢迎开发者/用户加入龙蜥社区(OpenAnolis)交流,共同推进龙蜥社区的发展,一起打造一个活跃的、健康的开源操作系统生态!
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
2022 云栖大会-云原生峰会PPT合集
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
相关实验场景
更多
http://www.vxiaotou.com