Halaman ini diterjemahkan oleh Cloud Translation API.

Menjalankan vTPM di workload Confidential GKE Node

Standard

Halaman ini menunjukkan cara menggunakan Virtual Trusted Platform Module (vTPM) dengan workload Google Kubernetes Engine (GKE) Standard yang berjalan di Node GKE Rahasia. vTPM memberikan integritas platform bersama dengan fitur keamanan lainnya, seperti pengesahan jarak jauh, penyegelan rahasia, dan pembuatan angka acak. Di halaman ini, Anda akan mempelajari cara menginstal plugin perangkat dan membuat vTPM terlihat oleh aplikasi GKE.

Halaman ini ditujukan untuk engineer Keamanan yang ingin mengakses fitur keamanan vTPM dari jarak jauh di aplikasi GKE.

Sebelum membaca halaman ini, pastikan Anda memahami fitur berikut:

Sebelum memulai

Sebelum memulai, pastikan Anda telah menjalankan tugas berikut:

Aktifkan Google Kubernetes Engine API.

Aktifkan Google Kubernetes Engine API

Jika ingin menggunakan Google Cloud CLI untuk tugas ini, instal lalu lakukan inisialisasi gcloud CLI. Jika sebelumnya Anda telah menginstal gcloud CLI, dapatkan versi terbaru dengan menjalankan gcloud components update.
Catatan: Untuk penginstalan gcloud CLI yang ada, pastikan untuk menyetel properti compute/region dan compute/zone. Dengan menyetel lokasi default, Anda dapat menghindari error di gcloud CLI yang seperti ini: One of [--zone, --region] must be supplied: Please specify location.

Ketersediaan

Anda dapat menggunakan Confidential GKE Node dengan kondisi berikut:

Di zona dan region yang menyediakan instance N2D atau instance C2D.
Image node yang menggunakan Container-Optimized OS dengan containerd (cos_containerd).

Membuat cluster Confidential GKE Node

Anda dapat membuat cluster baru dengan Confidential GKE Node yang diaktifkan menggunakan gcloud CLI atau Konsol Google Cloud. Jika Anda mengaktifkan Confidential GKE Node di level cluster, semua node dalam cluster akan menjadi Confidential VMs.

gcloud

Saat membuat cluster baru, tentukan opsi --enable-confidential-nodes dalam perintah berikut:

gcloud container clusters create CLUSTER_NAME \
    --machine-type=MACHINE_TYPE \
    --enable-confidential-nodes

Ganti kode berikut:

CLUSTER_NAME: nama cluster baru.
MACHINE_TYPE: jenis mesin untuk node pool default cluster Anda, yang harus berupa jenis mesin N2D atau C2D.

Konsol

Buka halaman Google Kubernetes Engine di konsol Google Cloud.

Buka Google Kubernetes Engine
Klik Create.
Di bagian Standard, klik Configure.
Di menu navigasi, pada bagian Cluster, klik Security.
Centang kotak Aktifkan Confidential GKE Node.
Untuk mengonfigurasi bagian cluster lainnya, ikuti petunjuk di Membuat cluster regional.
Klik Buat.

Setelah membuat cluster dengan Confidential GKE Node, semua node pool yang dibuat di cluster ini hanya dapat menggunakan node rahasia. Anda tidak dapat membuat node pool reguler di cluster yang mengaktifkan Confidential GKE Node. Anda juga tidak dapat menonaktifkan Confidential GKE Node di setiap node pool saat mengaktifkan Confidential GKE Node di level cluster.

Menjalankan vTPM di workload Confidential GKE Node

Untuk menjalankan vTPM dalam workload Confidential GKE Node, Google menyediakan DaemonSet yang akan diterapkan ke cluster Confidential GKE Node. Jalankan perintah berikut untuk men-deploy DaemonSet:

kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml

Mengonfigurasi Pod untuk melihat vTPM

Anda menggunakan batas resource untuk mengonfigurasi Pod agar dapat melihat vTPM. Tentukan batas resource sebagai 1 di spesifikasi Pod menggunakan pasangan nilai kunci berikut

Kunci: google.com/cc
Nilai: 1

Contoh spesifikasi Pod yang menggunakan vTPM:

apiVersion: v1
kind: Pod
metadata:
  name: my-vtpm-pod
spec:
  containers:
  - name: nginx
    image: nginx
    ports:
    - containerPort: 8080
      name: http
    resources:
      limits:
        google.com/cc: 1

Langkah berikutnya

Pelajari cara memverifikasi dari jarak jauh bahwa workload berjalan di Confidential VM.