Auf dieser Seite erfahren Sie, wie Sie das Virtual Trusted Platform Module (vTPM) in den Arbeitslasten Ihrer regionalen Standardcluster der Confidential Google Kubernetes Engine (GKE) verwenden können. Weitere Informationen zu vTPMs finden Sie unter Shielded GKE-Knoten verwenden.
Übersicht
Mit vTPM in Confidential GKE Nodes-Arbeitslasten können Sie Cluster erstellen und vTPMs für deren Arbeitslasten verfügbar machen. vTPMs bieten Plattformintegrität zusammen mit anderen Sicherheitsfeatures wie Remote Attestation, Secret-Versiegelung und Erzeugung von Zufallszahlen.
Vorbereitung
Führen Sie die folgenden Schritte durch, bevor Sie beginnen:
- Aktivieren Sie die Google Kubernetes Engine API. Google Kubernetes Engine API aktivieren
- Wenn Sie die Google Cloud CLI für diese Aufgabe verwenden möchten, müssen Sie die gcloud CLI installieren und dann initialisieren. Wenn Sie die gcloud CLI bereits installiert haben, rufen Sie die neueste Version mit
gcloud components updateab.
Voraussetzungen
Für vTPM in Confidential GKE Nodes-Arbeitslasten ist die GKE-Version 1.26 und höher erforderlich.
Verfügbarkeit
Sie können Confidential GKE Nodes unter folgenden Bedingungen verwenden:
In Zonen und Regionen, in denen N2D-Instanzen oder C2D-Instanzen verfügbar sind
Knoten-Images mit Container-Optimized OS mit containerd (
cos_containerd)
Confidential GKE Nodes-Cluster erstellen
Sie können einen neuen Cluster erstellen, bei dem Confidential GKE Nodes aktiviert ist. Verwenden Sie dazu die gcloud CLI oder die Google Cloud Console. Wenn Sie Confidential GKE Nodes auf Clusterebene aktivieren, werden alle Knoten im Cluster zu Confidential VMs.
gcloud
Geben Sie beim Erstellen eines neuen Clusters die Option --enable-confidential-nodes im folgenden Befehl an:
gcloud container clusters create CLUSTER_NAME \
--machine-type=MACHINE_TYPE \
--enable-confidential-nodes
Ersetzen Sie dabei Folgendes:
- CLUSTER_NAME: Der Name des neuen Clusters.
- MACHINE_TYPE: der Maschinentyp für den Standardknotenpool des Clusters, der entweder der N2D- oder der C2D-Maschinentyp sein muss.
Console
Rufen Sie in der Google Cloud Console die Seite Google Kubernetes Engine auf.
Klicken Sie auf add_box Erstellen.
Klicken Sie unter Standard auf Konfigurieren.
Klicken Sie im Navigationsmenü unter Cluster die Option Sicherheit an.
Klicken Sie auf das Kästchen Confidential GKE Nodes aktivieren.
Folgen Sie der Anleitung unter Regionalen Cluster erstellen, um andere Abschnitte des Clusters zu konfigurieren.
Klicken Sie auf Erstellen.
Nachdem Sie einen Cluster mit Confidential GKE Nodes erstellt haben, können alle in diesem Cluster erstellten Knotenpools nur Confidential Nodes verwenden. Sie können keine regulären Knotenpools in Clustern erstellen, für die Confidential GKE Nodes aktiviert ist. Sie können Confidential GKE Nodes auch nicht für einzelne Knotenpools deaktivieren, wenn Sie Confidential GKE Nodes auf Clusterebene aktivieren.
vTPM in Confidential GKE Nodes-Arbeitslasten ausführen
Zum Ausführen eines vTPM in Confidential GKE Nodes-Arbeitslasten stellt Google ein DaemonSet bereit, das auf die Confidential GKE Nodes-Cluster angewendet werden soll. Führen Sie den folgenden Befehl aus, um das DaemonSet bereitzustellen:
kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml
Pods für das Anzeigen des vTPM konfigurieren
Sie verwenden ein Ressourcenlimit, um Pods für die Anzeige von vTPM zu konfigurieren. Geben Sie das Ressourcenlimit in einer Pod-Spezifikation als 1 an. Verwenden Sie dabei folgendes Schlüssel/Wert-Paar:
- Schlüssel:
google.com/cc - Wert: 1
Beispiel für eine Pod-Spezifikation, die vTPM verwendet:
apiVersion: v1
kind: Pod
metadata:
name: my-vtpm-pod
spec:
containers:
- name: nginx
image: nginx
ports:
- containerPort: 8080
name: http
resources:
limits:
google.com/cc: 1
Nächste Schritte
- Weitere Informationen zum Virtual Trusted Platform Module