Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
CycleCloud 8.5 prend en charge la création de machines virtuelles avec un type de sécurité de lancement approuvé ou confidentiel.
Remarque
L’utilisation de ces fonctionnalités peut présenter certaines limitations. Ces limites incluent l'absence de prise en charge de la sauvegarde, des disques managés et des disques de système d’exploitation éphémères. En outre, ces fonctionnalités nécessitent des images et des tailles de machine virtuelle spécifiques. Pour plus d’informations, consultez la documentation des liens précédents.
Vous pouvez modifier ces fonctionnalités dans le formulaire de cluster ou les définir directement sur le modèle de cluster.
L’attribut principal qui active cette fonctionnalité est SecurityType, qui peut être TrustedLaunch ou ConfidentialVM.
Pour que chaque machine virtuelle du cluster utilise le lancement approuvé par défaut, ajoutez le code suivant à votre modèle :
[[node defaults]]
# Start VMs with TrustedLaunch
SecurityType = TrustedLaunch
La sécurité standard est la valeur par défaut. Vous n’avez donc pas besoin de la spécifier. Si vous donnez une valeur pour SecurityType et importez votre cluster, vous pouvez commenter ou supprimer cette ligne et réimporter le cluster pour supprimer la valeur.
Si vous définissez une valeur sur defaults et souhaitez utiliser la sécurité Standard pour un nœud spécifique, remplacez la valeur undefined() par (utilisez := pour activer l’analyse stricte de la valeur) :
[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()
Lorsque vous utilisez le lancement approuvé ou les machines virtuelles confidentielles, vous activez d’autres fonctionnalités de sécurité dont la valeur par défaut est true :
EnableSecureBoot=true: utilise le démarrage sécurisé, qui permet de protéger vos machines virtuelles contre les kits de démarrage, les rootkits et les programmes malveillants au niveau du noyau.EnableVTPM=true: utilise le module vTPM ( Virtual Trusted Platform Module ), conforme au module TPM 2.0 et valide l’intégrité de votre machine virtuelle en dehors du stockage sécurisé des clés et des secrets.
Remarque
Ces attributs n’ont aucun effet avec le type de sécurité Standard par défaut.
En outre, les machines virtuelles confidentielles activent un nouveau schéma de chiffrement de disque.
Ce schéma protège toutes les partitions critiques du disque et rend le contenu du disque protégé accessible uniquement à la machine virtuelle. Comme pour le chiffrement côté serveur, la valeur par défaut est Platform-Managed Clés , mais vous pouvez utiliser Customer-Managed Clés à la place.
L'utilisation des clés Customer-Managed pour le chiffrement confidentiel nécessite un ensemble de chiffrement de disque dont le type de chiffrement est ConfidentialVmEncryptedWithCustomerKey. Pour plus d’informations, consultez Chiffrement de disque .