Exécuter un vTPM dans les charges de travail Confidential GKE Node


Cette page explique comment utiliser le module TPM virtuel (vTPM) dans les charges de travail de vos clusters régionaux standards Google Kubernetes Engine (GKE) confidentiels. Pour plus d'informations sur les modules vTPM, reportez-vous à la section Utiliser des nœuds GKE protégés.

Présentation

Le module vTPM des charges de travail Confidential GKE Node vous permet de créer des clusters et d'exposer des modules vTPM à leurs charges de travail. Les modules vTPM assurent l'intégrité de la plate-forme, ainsi que d'autres fonctionnalités de sécurité telles que l'attestation à distance, le scellement des secrets et la génération de nombres aléatoires.

Avant de commencer

Avant de commencer, effectuez les tâches suivantes :

  • Activez l'API Google Kubernetes Engine.
  • Activer l'API Google Kubernetes Engine
  • Si vous souhaitez utiliser Google Cloud CLI pour cette tâche, installez puis initialize gcloud CLI. Si vous avez déjà installé gcloud CLI, assurez-vous de disposer de la dernière version en exécutant la commande gcloud components update.

Conditions requises

Le module vTPM dans les charges de travail Confidential GKE Node nécessite GKE 1.26 et versions ultérieures.

Garantie de disponibilité

Vous pouvez utiliser des nœuds Confidential GKE Node dans les conditions suivantes :

Créer un cluster de nœuds Confidential GKE Node

Vous pouvez créer un cluster avec des nœuds Confidential GKE Node activés à l'aide de gcloud CLI ou de la console Google Cloud. Si vous activez les nœuds Confidential GKE Node au niveau du cluster, tous les nœuds du cluster deviennent des Confidential VMs.

gcloud

Lors de la création d'un cluster, spécifiez l'option --enable-confidential-nodes dans la commande suivante :

gcloud container clusters create CLUSTER_NAME \
    --machine-type=MACHINE_TYPE \
    --enable-confidential-nodes

Remplacez les éléments suivants :

  • CLUSTER_NAME : nom de votre nouveau cluster
  • MACHINE_TYPE : type de machine du pool de nœuds par défaut de votre cluster, qui doit être le type de machine N2D ou C2D

Console

  1. Accédez à la page Google Kubernetes Engine dans Google Cloud Console.

    Accéder à Google Kubernetes Engine

  2. Cliquez sur Créer.

  3. Dans la section Standard, cliquez sur Configurer.

  4. Dans le menu de navigation, sous Cluster, cliquez sur Sécurité.

  5. Cochez la case Activer les nœuds Confidential GKE Node.

  6. Pour configurer d'autres sections du cluster, suivez les instructions de la section Créer un cluster régional.

  7. Cliquez sur Créer.

Après la création d'un cluster avec des nœuds Confidential GKE Node, les pools de nœuds créés dans ce cluster ne peuvent utiliser que des nœuds confidentiels. Vous ne pouvez pas créer de pools de nœuds standards dans des clusters où les nœuds Confidential GKE Node sont activés. Vous ne pouvez pas non plus désactiver les nœuds Confidential GKE Node sur des pools de nœuds individuels lorsque vous activez les nœuds Confidential GKE Node au niveau du cluster.

Exécuter un vTPM dans les charges de travail Confidential GKE Node

Pour exécuter vTPM dans des charges de travail Confidential GKE Node, Google fournit un DaemonSet à appliquer aux clusters Confidential GKE Node. Exécutez la commande suivante pour déployer le DaemonSet :

kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml

Configurer les pods pour afficher le module vTPM

Vous devez utiliser une limite de ressources pour configurer les pods afin qu'ils voient vTPM. Définissez la limite de ressources sur 1 dans une spécification de pod à l'aide de la paire clé/valeur suivante :

  • Clé : google.com/cc
  • Valeur : 1

Exemple de spécification de pod utilisant vTPM :

apiVersion: v1
kind: Pod
metadata:
  name: my-vtpm-pod
spec:
  containers:
  - name: nginx
    image: nginx
    ports:
    - containerPort: 8080
      name: http
    resources:
      limits:
        google.com/cc: 1

Étapes suivantes