Questa pagina mostra come utilizzare i moduli Trusted Platform Module virtuali (vTPM) con i workload Google Kubernetes Engine (GKE) Standard eseguiti nei nodi Confidential GKE. I vTPM forniscono l'integrità della piattaforma insieme ad altre funzionalità di sicurezza, come l'attestazione remota, la sigillatura dei secret e la generazione di numeri casuali. In questa pagina imparerai a installare un plug-in del dispositivo e a rendere visibili i vTPM alle applicazioni GKE.
Questa pagina è destinata agli ingegneri della sicurezza che vogliono accedere da remoto alle funzionalità di sicurezza dei vTPM nelle applicazioni GKE.
Prima di leggere questa pagina, assicurati di conoscere le seguenti funzionalità:
Prima di iniziare
Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:
- Attiva l'API Google Kubernetes Engine. Attiva l'API Google Kubernetes Engine
- Se vuoi utilizzare Google Cloud CLI per questa attività,
installala e poi
inizializza
gcloud CLI. Se hai già installato gcloud CLI, scarica l'ultima versione
eseguendo
gcloud components update.
Limitazioni
Puoi rendere visibili i vTPM alle applicazioni GKE solo nei Confidential GKE Node che utilizzano AMD SEV come tecnologia di Confidential Computing. Intel TDX e AMD SEV-SNP non sono supportati.
Disponibilità
Puoi utilizzare Confidential GKE Nodes alle seguenti condizioni:
Immagini dei nodi che utilizzano Container-Optimized OS con containerd (
cos_containerd).
Crea un cluster Confidential GKE Nodes
Puoi creare un nuovo cluster con i nodi GKE confidenziali abilitati utilizzando gcloud CLI o la console Google Cloud . Se abiliti Confidential GKE Nodes a livello di cluster, tutti i nodi del cluster diventano VM confidenziali.
gcloud
Crea un nuovo cluster che utilizza AMD SEV come tecnologia di Confidential Computing:
gcloud container clusters create CLUSTER_NAME \
--machine-type=MACHINE_TYPE \
--confidential-node-type=SEV
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del nuovo cluster.
- MACHINE_TYPE: il tipo di macchina per il pool di nodi predefinito del cluster, che deve essere il tipo di macchina N2D o C2D.
Console
- Nella console Google Cloud , vai alla pagina Crea un cluster Kubernetes.
- Nel menu di navigazione, in Cluster, fai clic su Sicurezza.
- Seleziona Abilita Confidential GKE Nodes.
- Nella finestra di dialogo di conferma, fai clic su Apporta modifiche.
- Nel menu Tipo, seleziona AMD SEV.
- Per configurare altre sezioni del cluster, segui le istruzioni riportate in Creazione di un cluster regionale.
- Fai clic su Crea.
Dopo aver creato un cluster con GKE Confidential Nodes, tutti i node pool creati in questo cluster possono utilizzare solo nodi confidenziali. Non puoi creare node pool regolari nei cluster con Confidential GKE Nodes abilitato. Inoltre, non puoi disabilitare Confidential GKE Nodes sui singoli node pool quando lo abiliti a livello di cluster.
Esegui un vTPM nei carichi di lavoro Confidential GKE Nodes
Per eseguire vTPM nei carichi di lavoro Confidential GKE Node, Google fornisce un DaemonSet da applicare ai cluster Confidential GKE Node. Esegui questo comando per eseguire il deployment del DaemonSet:
kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml
Configurare i pod per visualizzare il vTPM
Utilizzi un limite di risorse per configurare i pod in modo che visualizzino vTPM. Specifica il limite di risorse come 1 in una specifica del pod utilizzando la seguente coppia chiave-valore
- Chiave:
google.com/cc - Valore: 1
Un esempio di specifica del pod che utilizza vTPM:
apiVersion: v1
kind: Pod
metadata:
name: my-vtpm-pod
spec:
containers:
- name: nginx
image: nginx
ports:
- containerPort: 8080
name: http
resources:
limits:
google.com/cc: 1