Nesta página, mostramos como usar o módulo de plataforma confiável virtual (vTPM) nas cargas de trabalho regionais padrão confidenciais do Google Kubernetes Engine (GKE). Para mais informações sobre vTPMs, consulte Como usar nós protegidos do GKE.
Visão geral
Com o vTPM nas cargas de trabalho de nós confidenciais do GKE, é possível criar clusters e expor vTPMs às cargas de trabalho deles. Os vTPMs oferecem integridade da plataforma com outros recursos de segurança, como atestado remoto, isolamento de segredo e geração de números aleatórios.
Antes de começar
Antes de começar, veja se você realizou as seguintes tarefas:
- Ative a API Google Kubernetes Engine. Ativar a API Google Kubernetes Engine
- Se você quiser usar a CLI do Google Cloud para essa tarefa,
instale e, em seguida,
inicialize a
CLI gcloud. Se você instalou a gcloud CLI anteriormente, instale a versão
mais recente executando
gcloud components update.
Requisitos
O vTPM em cargas de trabalho de nós confidenciais do GKE requer a versão 1.26 e posterior do GKE.
Disponibilidade
É possível usar os Confidential GKE Nodes nas seguintes condições:
Em zonas e regiões com instâncias N2D ou instâncias C2D disponíveis.
Imagens de nó usando o Container-Optimized OS com o containerd (
cos_containerd).
Criar um cluster do Confidential GKE Nodes
É possível criar um novo cluster com o Confidential GKE Node ativado usando a CLI gcloud ou o Console do Google Cloud. Se você ativar os nós confidenciais do GKE no nível do cluster, todos os nós no cluster se tornarão VMs confidenciais.
gcloud
Ao criar um novo cluster, especifique a opção --enable-confidential-nodes
no seguinte comando:
gcloud container clusters create CLUSTER_NAME \
--machine-type=MACHINE_TYPE \
--enable-confidential-nodes
Substitua:
- CLUSTER_NAME: o nome do novo cluster.
- MACHINE_TYPE: o tipo de máquina do pool de nós padrão do cluster, que precisa ser N2D ou C2D.
Console
Acesse a página Google Kubernetes Engine no console do Google Cloud.
Clique em add_box Criar.
Na seção Padrão, clique em Configurar.
No menu de navegação, em Cluster, clique em Segurança.
Marque a caixa de seleção Ativar o Confidential GKE Node.
Para configurar outras seções do cluster, siga as instruções em Como criar um cluster regional.
Clique em Criar.
Depois de criar um cluster com nós confidenciais do GKE, todos os pools de nós criados nele só poderão ser nós confidenciais. Não é possível criar pools de nós regulares em clusters com os Confidential GKE Nodes ativados. Também não é possível desativar os Confidential GKE Nodes em pools de nós individuais ao ativar os Confidential GKE Nodes no nível do cluster.
Execute um vTPM em cargas de trabalho de nós confidenciais do GKE
Para executar o vTPM em cargas de trabalho dos nós confidenciais do GKE, o Google fornece um DaemonSet para ser aplicado aos clusters desses nós. Execute o seguinte comando para implantar o DaemonSet:
kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml
Configure pods para ver o vTPM
Use um limite de recurso para configurar pods para ver vTPM. Especifique o limite de recursos como 1 em uma especificação de pod usando o seguinte par de chave-valor
- Chave:
google.com/cc - Valor 1
Um exemplo de especificação de pod que usa vTPM:
apiVersion: v1
kind: Pod
metadata:
name: my-vtpm-pod
spec:
containers:
- name: nginx
image: nginx
ports:
- containerPort: 8080
name: http
resources:
limits:
google.com/cc: 1
A seguir
- Saiba mais sobre o módulo de plataforma confiável virtual.