Halaman ini menunjukkan cara menggunakan Virtual Trusted Platform Modules (vTPM) dengan workload Standard Google Kubernetes Engine (GKE) yang berjalan di Confidential GKE Nodes. vTPM memberikan integritas platform bersama dengan fitur keamanan lainnya, seperti pengesahan jarak jauh, penyegelan rahasia, dan pembuatan angka acak. Di halaman ini, Anda akan mempelajari cara menginstal plugin perangkat dan membuat vTPM terlihat oleh aplikasi GKE.
Halaman ini ditujukan bagi Engineer keamanan yang ingin mengakses fitur keamanan vTPM dari jarak jauh di aplikasi GKE.
Sebelum membaca halaman ini, pastikan Anda memahami fitur berikut:
Sebelum memulai
Sebelum memulai, pastikan Anda telah melakukan tugas berikut:
- Aktifkan Google Kubernetes Engine API. Aktifkan Google Kubernetes Engine API
- Jika ingin menggunakan Google Cloud CLI untuk tugas ini,
instal lalu
lakukan inisialisasi
gcloud CLI. Jika sebelumnya Anda telah menginstal gcloud CLI, dapatkan versi terbaru dengan menjalankan
gcloud components update.
Batasan
Anda dapat membuat vTPM terlihat oleh aplikasi GKE hanya di Node GKE Rahasia yang menggunakan AMD SEV sebagai teknologi Confidential Computing. Intel TDX dan AMD SEV-SNP tidak didukung.
Ketersediaan
Anda dapat menggunakan Confidential GKE Node dalam kondisi berikut:
Di zona dan region yang menyediakan instance N2D atau instance C2D.
Image node yang menggunakan Container-Optimized OS dengan containerd (
cos_containerd).
Membuat cluster Confidential GKE Nodes
Anda dapat membuat cluster baru dengan Confidential GKE Node yang diaktifkan menggunakan gcloud CLI atau konsol Google Cloud . Jika Anda mengaktifkan Confidential GKE Node di level cluster, semua node dalam cluster akan menjadi Confidential VM.
gcloud
Buat cluster baru yang menggunakan AMD SEV sebagai teknologi Confidential Computing:
gcloud container clusters create CLUSTER_NAME \
--machine-type=MACHINE_TYPE \
--confidential-node-type=SEV
Ganti kode berikut:
- CLUSTER_NAME: nama cluster baru.
- MACHINE_TYPE: jenis mesin untuk node pool default cluster Anda, yang harus berupa jenis mesin N2D atau C2D.
Konsol
- Di konsol Google Cloud , buka halaman Create a Kubernetes cluster.
- Di menu navigasi, pada bagian Cluster, klik Security.
- Pilih Aktifkan Confidential GKE Node.
- Pada dialog konfirmasi, klik Buat perubahan.
- Di menu Type, pilih AMD SEV.
- Untuk mengonfigurasi bagian cluster lainnya, ikuti petunjuk di Membuat cluster regional.
- Klik Buat.
Setelah membuat cluster dengan Confidential GKE Node, semua node pool yang dibuat di cluster ini hanya dapat menggunakan node rahasia. Anda tidak dapat membuat node pool reguler di cluster yang mengaktifkan Confidential GKE Node. Anda juga tidak dapat menonaktifkan Confidential GKE Node di setiap node pool saat mengaktifkan Confidential GKE Node di level cluster.
Menjalankan vTPM di workload Confidential GKE Nodes
Untuk menjalankan vTPM di workload Confidential GKE Node, Google menyediakan DaemonSet untuk diterapkan ke cluster Confidential GKE Node. Jalankan perintah berikut untuk men-deploy DaemonSet:
kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml
Mengonfigurasi Pod agar dapat melihat vTPM
Anda menggunakan batas resource untuk mengonfigurasi Pod agar dapat melihat vTPM. Tentukan batas resource sebagai 1 dalam spesifikasi Pod menggunakan pasangan nilai kunci berikut
- Kunci:
google.com/cc - Nilai: 1
Contoh spesifikasi Pod yang menggunakan vTPM:
apiVersion: v1
kind: Pod
metadata:
name: my-vtpm-pod
spec:
containers:
- name: nginx
image: nginx
ports:
- containerPort: 8080
name: http
resources:
limits:
google.com/cc: 1