Esta página foi traduzida pela API Cloud Translation.

Execute um vTPM em cargas de trabalho de nós confidenciais do GKE

Padrão

Nesta página, mostramos como usar módulos de plataforma confiável virtual (vTPMs) com cargas de trabalho padrão do Google Kubernetes Engine (GKE) executadas em nós confidenciais do GKE. Os vTPMs oferecem integridade da plataforma com outros recursos de segurança, como atestado remoto, isolamento de segredo e geração de números aleatórios. Nesta página, você vai aprender a instalar um plug-in de dispositivo e tornar os vTPMs visíveis para aplicativos do GKE.

Esta página é destinada a engenheiros de segurança que querem acessar remotamente os recursos de segurança de vTPMs em aplicativos do GKE.

Antes de ler esta página, confira se você conhece os seguintes recursos:

Antes de começar

Antes de começar, veja se você realizou as seguintes tarefas:

Ative a API Google Kubernetes Engine.

Ativar a API Google Kubernetes Engine

Se você quiser usar a CLI do Google Cloud para essa tarefa, instale e, em seguida, inicialize a CLI gcloud. Se você instalou a gcloud CLI anteriormente, instale a versão mais recente executando gcloud components update.
Observação: para instalações atuais da gcloud CLI, defina as propriedades compute/region e compute/zone. Ao definir locais padrão, é possível evitar erros na CLI gcloud, como: One of [--zone, --region] must be supplied: Please specify location.

Disponibilidade

É possível usar os Confidential GKE Nodes nas seguintes condições:

Em zonas e regiões com instâncias N2D ou instâncias C2D disponíveis.
Imagens de nó usando o Container-Optimized OS com o containerd (cos_containerd).

Criar um cluster do Confidential GKE Nodes

É possível criar um novo cluster com o Confidential GKE Node ativado usando a CLI gcloud ou o Console do Google Cloud. Se você ativar os nós confidenciais do GKE no nível do cluster, todos os nós no cluster se tornarão VMs confidenciais.

gcloud

Ao criar um novo cluster, especifique a opção --enable-confidential-nodes no seguinte comando:

gcloud container clusters create CLUSTER_NAME \
    --machine-type=MACHINE_TYPE \
    --enable-confidential-nodes

Substitua:

CLUSTER_NAME: o nome do novo cluster.
MACHINE_TYPE: o tipo de máquina do pool de nós padrão do cluster, que precisa ser N2D ou C2D.

Console

Acesse a página Google Kubernetes Engine no console do Google Cloud.

Acessar o Google Kubernetes Engine
Clique em Criar.
Na seção Padrão, clique em Configurar.
No menu de navegação, em Cluster, clique em Segurança.
Marque a caixa de seleção Ativar o Confidential GKE Node.
Para configurar outras seções do cluster, siga as instruções em Como criar um cluster regional.
Clique em Criar.

Depois de criar um cluster com nós confidenciais do GKE, todos os pools de nós criados nele só poderão ser nós confidenciais. Não é possível criar pools de nós regulares em clusters com os Confidential GKE Nodes ativados. Também não é possível desativar os Confidential GKE Nodes em pools de nós individuais ao ativar os Confidential GKE Nodes no nível do cluster.

Execute um vTPM em cargas de trabalho de nós confidenciais do GKE

Para executar o vTPM em cargas de trabalho dos nós confidenciais do GKE, o Google fornece um DaemonSet para ser aplicado aos clusters desses nós. Execute o seguinte comando para implantar o DaemonSet:

kubectl create -f https://raw.githubusercontent.com/google/cc-device-plugin/main/manifests/cc-device-plugin.yaml

Configure pods para ver o vTPM

Use um limite de recurso para configurar pods para ver vTPM. Especifique o limite de recursos como 1 em uma especificação de pod usando o seguinte par de chave-valor

Chave: google.com/cc
Valor 1

Um exemplo de especificação de pod que usa vTPM:

apiVersion: v1
kind: Pod
metadata:
  name: my-vtpm-pod
spec:
  containers:
  - name: nginx
    image: nginx
    ports:
    - containerPort: 8080
      name: http
    resources:
      limits:
        google.com/cc: 1

A seguir

Saiba como afirmar remotamente que as cargas de trabalho estão sendo executadas em uma VM confidencial.