Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa CycleCloud 8.5 obsługuje tworzenie maszyn wirtualnych z typem zabezpieczeń zaufanego uruchamiania lub poufnego.
Uwaga
Korzystanie z tych funkcji może mieć pewne ograniczenia. Ograniczenia te obejmują brak obsługi kopii zapasowych, dysków zarządzanych i efemerycznych dysków systemu operacyjnego. Ponadto te funkcje wymagają określonych obrazów i rozmiarów maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz dokumentację w powyższych linkach.
Te funkcje można zmodyfikować w formularzu klastra lub ustawić je bezpośrednio w szablonie klastra.
Podstawowym atrybutem, który włącza tę funkcję, jest SecurityType, który może być TrustedLaunch lub ConfidentialVM.
Aby domyślnie każda maszyna wirtualna w klastrze korzystała z zaufanego uruchamiania, dodaj następujący kod do szablonu:
[[node defaults]]
# Start VMs with TrustedLaunch
SecurityType = TrustedLaunch
Standardowe zabezpieczenia są wartością domyślną, więc nie trzeba jej określać. Jeśli podasz wartość dla SecurityType i zaimportujesz klaster, możesz zakomentować lub usunąć ten wiersz i ponownie zaimportować klaster, aby usunąć wartość.
Jeśli ustawisz wartość na defaults i chcesz użyć zabezpieczeń standardowych dla niektórych węzłów, zastąp wartość przy użyciu undefined() (użyj := , aby włączyć ścisłe analizowanie wartości):
[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()
W przypadku korzystania z zaufanych uruchomień lub poufnych maszyn wirtualnych, automatycznie aktywują się inne funkcje zabezpieczeń, które domyślnie są ustawione na aktywne.
EnableSecureBoot=true: używa bezpiecznego rozruchu, który pomaga chronić maszyny wirtualne przed zestawami rozruchowymi, zestawami rootkit i złośliwym oprogramowaniem na poziomie jądra.EnableVTPM=true: używa wirtualnego modułu zaufanej platformy (vTPM), który jest zgodny z modułem TPM 2.0 i weryfikuje integralność rozruchu maszyny wirtualnej poza bezpiecznym przechowywaniem kluczy i wpisów tajnych.
Uwaga
Te atrybuty nie mają wpływu na domyślny typ zabezpieczeń w warstwie Standardowa.
Ponadto poufne maszyny wirtualne umożliwiają nowy schemat szyfrowania dysków.
Ten schemat chroni wszystkie krytyczne partycje dysku i sprawia, że chroniona zawartość dysku jest dostępna tylko dla maszyny wirtualnej. Podobnie jak w przypadku szyfrowania po stronie serwera, wartością domyślną jest Platform-Managed Klucze , ale zamiast tego można użyć Customer-Managed Keys .
Użycie kluczy Customer-Managed na potrzeby szyfrowania poufnego wymaga zestawu szyfrowania dysków , którego typem szyfrowania jest ConfidentialVmEncryptedWithCustomerKey. Aby uzyskać więcej informacji, zobacz Szyfrowanie dysków .