Questa pagina mostra come utilizzare i moduli virtuali Trusted Platform (vTPM) con i workload standard di Google Kubernetes Engine (GKE) in esecuzione in nodi GKE riservati. I vTPM garantiscono l'integrità della piattaforma insieme ad altre funzionalità di sicurezza, come l'attestazione remota, la sigillatura delle chiavi e la generazione di numeri casuali. In questa pagina scoprirai come installare un plug-in per il dispositivo e rendere visibili i vTPM alle applicazioni GKE.
Questa pagina è rivolta agli esperti di sicurezza che vogliono accedere da remoto alle funzionalità di sicurezza dei vTPM nelle applicazioni GKE.
Prima di leggere questa pagina, assicurati di conoscere le seguenti funzionalità:
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:
- Attiva l'API Google Kubernetes Engine. Attiva l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività,
installa e poi
inizializza gcloud CLI. Se hai già installato gcloud CLI, ottieni la versione più recente eseguendo
gcloud components update.
Disponibilità
Puoi utilizzare Confidential GKE Node alle seguenti condizioni:
Nelle zone e nelle regioni con istanze N2D o istanze C2D disponibile.
Immagini dei nodi che utilizzano Container-Optimized OS con containerd (
cos_containerd).
Crea un cluster Confidential GKE Node
Puoi creare un nuovo cluster con i nodi GKE riservati abilitati utilizzando la CLI gcloud o la console Google Cloud. Se attivi i nodi GKE riservati a livello di cluster, tutti i nodi del cluster diventano VM riservate.
gcloud
Quando crei un nuovo cluster, specifica l'opzione --enable-confidential-nodes nel seguente comando:
gcloud container clusters create CLUSTER_NAME \
--machine-type=MACHINE_TYPE \
--enable-confidential-nodes
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del nuovo cluster.
- MACHINE_TYPE: il tipo di macchina per il node pool predefinito del cluster, che deve essere il tipo di macchina N2D o C2D.
Console
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Fai clic su add_box Crea.
Nella sezione Standard, fai clic su Configura.
Nel menu di navigazione, fai clic su Sicurezza in Cluster.
Seleziona la casella di controllo Abilita nodi Confidential GKE.
Per configurare altre sezioni del cluster, segui le istruzioni riportate in Creazione di un cluster a livello di area geografica.
Fai clic su Crea.
Dopo aver creato un cluster con Confidential GKE Node, tutti i node pool creati in questo cluster possono utilizzare solo nodi riservati. Non puoi creare node pool regolari nei cluster con i nodi riservati di GKE abilitati. Inoltre, non puoi disabilitare i nodi Confidential GKE Node nei singoli pool di nodi quando li abiliti a livello di cluster.
Esegui un vTPM nei carichi di lavoro di Confidential GKE Node
Per eseguire vTPM nei carichi di lavoro di Confidential GKE Node, Google fornisce un DaemonSet da applicare ai cluster Confidential GKE Node. Esegui il comando seguente per eseguire il deployment del DaemonSet:
kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml
Configura i pod per vedere il vTPM
Utilizzi un limite di risorse per configurare i pod in modo che vedano vTPM. Specifica il limite di risorse come 1 in una specifica del pod utilizzando la seguente coppia chiave-valore
- Chiave:
google.com/cc - Valore: 1
Un esempio di specifica del pod che utilizza vTPM:
apiVersion: v1
kind: Pod
metadata:
name: my-vtpm-pod
spec:
containers:
- name: nginx
image: nginx
ports:
- containerPort: 8080
name: http
resources:
limits:
google.com/cc: 1