Questa pagina mostra come utilizzare il modulo vTPM (Virtual Trusted Platform Module) nei workload dei cluster regionali standard di Google Kubernetes Engine (GKE) riservati. Per maggiori informazioni sui vTPM, consulta Utilizzare Shielded GKE Nodes.
Panoramica
Con i vTPM nei carichi di lavoro dei nodi riservati di GKE, puoi creare cluster ed esporre i vTPM ai relativi carichi di lavoro. I vTPM forniscono l'integrità della piattaforma insieme ad altre funzionalità di sicurezza come l'attestazione remota, la sigillatura delle chiavi segrete e la generazione di numeri casuali.
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:
- Attiva l'API Google Kubernetes Engine. Attiva l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività,
installa e poi
inizializza gcloud CLI. Se hai già installato gcloud CLI, ottieni la versione più recente eseguendo
gcloud components update.
Requisiti
Il vTPM nei carichi di lavoro di Confidential GKE Node richiede la versione GKE 1.26 e successive.
Disponibilità
Puoi utilizzare Confidential GKE Node alle seguenti condizioni:
Nelle zone e nelle regioni con istanze N2D o istanze C2D disponibile.
Immagini dei nodi che utilizzano Container-Optimized OS con containerd (
cos_containerd).
Crea un cluster di nodi GKE riservati
Puoi creare un nuovo cluster con i nodi GKE riservati abilitati utilizzando la gcloud CLI o la console Google Cloud. Se attivi i nodi GKE riservati a livello di cluster, tutti i nodi del cluster diventano VM riservate.
gcloud
Quando crei un nuovo cluster, specifica l'opzione --enable-confidential-nodes nel seguente comando:
gcloud container clusters create CLUSTER_NAME \
--machine-type=MACHINE_TYPE \
--enable-confidential-nodes
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del nuovo cluster.
- MACHINE_TYPE: il tipo di macchina per il pool di nodi predefinito del cluster, che deve essere il tipo di macchina N2D o C2D.
Console
Vai alla pagina Google Kubernetes Engine nella console Google Cloud.
Fai clic su add_box Crea.
Nella sezione Standard, fai clic su Configura.
Nel menu di navigazione, fai clic su Sicurezza in Cluster.
Seleziona la casella di controllo Abilita i nodi Confidential GKE.
Per configurare altre sezioni del cluster, segui le istruzioni riportate in Creazione di un cluster a livello di area geografica.
Fai clic su Crea.
Dopo aver creato un cluster con Confidential GKE Node, tutti i node pool creati in questo cluster possono utilizzare solo nodi riservati. Non puoi creare node pool regolari nei cluster con i nodi riservati di GKE abilitati. Inoltre, non puoi disabilitare i nodi Confidential GKE Node nei singoli pool di nodi quando li abiliti a livello di cluster.
Esegui un vTPM nei carichi di lavoro di Confidential GKE Node
Per eseguire vTPM nei carichi di lavoro di Confidential GKE Node, Google fornisce un DaemonSet da applicare ai cluster Confidential GKE Node. Esegui questo comando per eseguire il deployment del DaemonSet:
kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml
Configura i pod per vedere il vTPM
Utilizzi un limite di risorse per configurare i pod in modo che vedano vTPM. Specifica il limite di risorse come 1 in una specifica del pod utilizzando la seguente coppia chiave-valore
- Chiave:
google.com/cc - Valore: 1
Un esempio di specifica del pod che utilizza vTPM:
apiVersion: v1
kind: Pod
metadata:
name: my-vtpm-pod
spec:
containers:
- name: nginx
image: nginx
ports:
- containerPort: 8080
name: http
resources:
limits:
google.com/cc: 1
Passaggi successivi
- Scopri di più sul Virtual Trusted Platform Module.