Questa pagina mostra come utilizzare i moduli della piattaforma attendibile virtuale (vTPM) con i carichi di lavoro GKE Standard di Google Kubernetes Engine (GKE) eseguiti in Confidential GKE Node. I vTPM forniscono l'integrità della piattaforma insieme ad altre funzionalità di sicurezza, come l'attestazione remota, la sigillatura dei secret e la generazione di numeri casuali. In questa pagina scoprirai come installare un plug-in del dispositivo e rendere i vTPM visibili alle applicazioni GKE.
Questa pagina è rivolta agli ingegneri della sicurezza che vogliono accedere da remoto alle funzionalità di sicurezza dei vTPM nelle applicazioni GKE.
Prima di leggere questa pagina, assicurati di conoscere le seguenti funzionalità:
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti attività:
- Abilita l'API Google Kubernetes Engine. Abilita l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività,
installala e poi
inizializza gcloud CLI. Se hai già installato gcloud CLI, scarica l'ultima
versione eseguendo il
gcloud components updatecomando. Le versioni precedenti di gcloud CLI potrebbero non supportare l'esecuzione dei comandi in questo documento.
Limitazioni
Puoi rendere i vTPM visibili alle applicazioni GKE solo in Confidential GKE Node che utilizzano AMD SEV come tecnologia di Confidential Computing. Intel TDX e AMD SEV-SNP non sono supportati.
Disponibilità
Puoi utilizzare Confidential GKE Node nelle seguenti condizioni:
Nelle zone e nelle regioni con istanze N2D o istanze C2D disponibili.
Immagini dei nodi che utilizzano Container-Optimized OS con containerd (
cos_containerd).
Crea un cluster Confidential GKE Node
Puoi creare un nuovo cluster con Confidential GKE Node abilitato utilizzando gcloud CLI o la Google Cloud console. Se abiliti Confidential GKE Node a livello di cluster, tutti i nodi del cluster diventano Confidential VM.
gcloud
Crea un nuovo cluster che utilizza AMD SEV come tecnologia di Confidential Computing:
gcloud container clusters create CLUSTER_NAME \
--machine-type=MACHINE_TYPE \
--confidential-node-type=SEV
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del nuovo cluster.
- MACHINE_TYPE: il tipo di macchina per il pool di nodi predefinito del cluster, che deve essere il tipo di macchina N2D o C2D.
Console
- Nella Google Cloud console, vai alla pagina Crea un cluster Kubernetes.
- Nel menu di navigazione, in Cluster, fai clic su Sicurezza.
- Seleziona Abilita Confidential GKE Node.
- Nella finestra di dialogo di conferma, fai clic su Apporta modifiche.
- Nel menu Tipo, seleziona AMD SEV.
- Per configurare altre sezioni del cluster, segui le istruzioni riportate in Creazione di un cluster regionale.
- Fai clic su Crea.
Dopo aver creato un cluster con Confidential GKE Node, tutti i node pool creati in questo cluster possono utilizzare solo nodi riservati. Non puoi creare node pool regolari nei cluster con Confidential GKE Node abilitato. Inoltre, non puoi disabilitare Confidential GKE Node nei singoli node pool quando abiliti Confidential GKE Node a livello di cluster.
Esegui un vTPM nei carichi di lavoro Confidential GKE Node
Per eseguire vTPM nei carichi di lavoro Confidential GKE Node, Google fornisce un DaemonSet da applicare ai cluster Confidential GKE Node. Esegui questo comando per eseguire il deployment del DaemonSet:
kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml
Configura i pod per visualizzare il vTPM
Utilizza un limite di risorse per configurare i pod in modo che visualizzino vTPM. Specifica il limite di risorse come 1 in una specifica del pod utilizzando la seguente coppia chiave-valore
- Chiave:
google.com/cc - Valore: 1
Un esempio di specifica del pod che utilizza vTPM:
apiVersion: v1
kind: Pod
metadata:
name: my-vtpm-pod
spec:
containers:
- name: nginx
image: nginx
ports:
- containerPort: 8080
name: http
resources:
limits:
google.com/cc: 1