Q: هل يمكنني تشغيل عُقد Windows وحاويات Windows باستخدام ACC؟

ليس في الوقت الحالي. اتصل بفريق المنتج acconaks@microsoft.com إذا كان لديك عقد Windows أو احتياجات الحاوية.

Q: ما هي وحدة إدارة مخزون الجهاز الظاهري التي يجب أن أختارها لعقد الحوسبة السرية؟

DCSv2/DCsv3 SKUs. يتوفر المزيد حول سلسلتي DCSv2 و DCSv3 في المناطق المدعومة

Q: هل يمكنني توفير AKS مع تجمعات عقد DCSv2 من خلال مدخل Azure؟

نعم. يمكن استخدام Azure CLI كبديل، كما هو موثق هنا .

Question 1

هل تتوفر عُقد الحوسبة السرية على AKS للاستخدام في الإنتاج؟

Accepted Answer

نعم، لعُقد جيب Intel SGX.

Question 2

هل يمكنني تمكين الشبكات المتسارعة باستخدام مجموعات AKS السرية للحوسبة في Azure؟

Accepted Answer

نعم، تدعم عقد DCSv3 VM الشبكات المتسارعة. لا تقوم الأجهزة الظاهرية DCSv2 بذلك.

Question 3

ما هو إصدار Intel SGX Driver على صورة AKS للعُقد السرية؟

Accepted Answer

حاليا، يتم تثبيت أجهزة Azure الظاهرية للحوسبة السرية DCSv2/DCSv3 مع Intel SGX DCAP 1.33.2

Question 4

هل يمكنني تضمين برامج نصية لتثبيت البرامج النصية/تخصيص برامج التشغيل إلى العُقد التي تم توفيرها بواسطة AKS؟

Accepted Answer

عدد تدعم عقد الحوسبة السرية المستندة إلى AKS-Engine عُقد الحوسبة السرية التي تسمح بالتثبيتات المخصصة ولها تحكم كامل في مستوى التحكم في Kubernetes.

Question 5

هل يمكنني تشغيل عُقد ACC مع وحدات إدارة مخزون الجهاز الافتراضي القياسية الأخرى (إنشاء مجموعة تجمع عقدة غير متجانسة)؟

Accepted Answer

نعم، يمكنك تشغيل تجمعات عقد مختلفة داخل نفس مجموعة AKS بما في ذلك عُقد ACC. لاستهداف تطبيقات الجيب الخاصة بك على تجمع عقدة معينة، ضع في اعتبارك إضافة محددات العُقد أو تطبيق حدود EPC. راجع المزيد من التفاصيل حول التشغيل السريع على العُقد السرية هنا.

Question 6

هل يمكنني تشغيل عُقد Windows وحاويات Windows باستخدام ACC؟

Accepted Answer

ليس في الوقت الحالي. اتصل بفريق المنتج acconaks@microsoft.com إذا كان لديك عقد Windows أو احتياجات الحاوية.

Question 7

هل يمكنني جدولة وتشغيل حاويات غير جيبية على عُقد الحوسبة السرية؟

Accepted Answer

نعم. لدى الأجهزة الظاهرية أيضًا ذاكرة عادية يمكنها تشغيل أحمال العمل القياسية للحاوية. ضع في الاعتبار نموذج الأمان والتهديد للتطبيقات قبل اتخاذ قرار بشأن نماذج النشر.

Question 8

ما هي وحدة إدارة مخزون الجهاز الظاهري التي يجب أن أختارها لعقد الحوسبة السرية؟

Accepted Answer

DCSv2/DCsv3 SKUs. يتوفر المزيد حول سلسلتي DCSv2 وDCSv3 في المناطق المدعومة

Question 9

هل يمكنني توفير AKS مع تجمعات عقد DCSv2 من خلال مدخل Azure؟

Accepted Answer

نعم. يمكن استخدام Azure CLI كبديل، كما هو موثق هنا.

Question 10

ما هو الإصدار Ubuntu وإنشاء الجهاز الظاهري المعتمد؟

Accepted Answer

18.04 على Gen 2.

Question 11

ما هي القيود الحالية المعروفة للمنتج؟

Accepted Answer

يدعم عقد الجهاز الظاهري لـ Ubuntu 18.04 Gen 2 فقط
لا يدعم عقد Windows أو يدعم حاويات Windows
لا يتم اعتماد ذاكرة EPC المستندة إلى التحجيم التلقائي للجراب الأفقي. CPU والتحجيم العادي المستند إلى الذاكرة معتمدان.
مسافات التطوير على AKS للتطبيقات السرية غير مدعومة حاليًّا

Question 12

هل يمكنني توفير AKS مع تجمعات عقدة DCSv2/DCSv3 من خلال مدخل Microsoft Azure؟

Accepted Answer

نعم. يمكن استخدام Azure CLI كبديل، كما هو موثق هنا.

Question 13

هل يمكنني إحضار تطبيقاتي المتضمنة في حاوية موجودة وتشغيلها على AKS باستخدام الحوسبة السرية في Azure؟

Accepted Answer

نعم، سوف تُحضر برنامج تضمين SGX للتشغيل في جيب Intel SGX، راجع صفحة الحاويات السرية لمزيد من التفاصيل عن عوامل تمكين النظام الأساسي.

Question 14

هل يجب أن أستخدم صورة قاعدة Docker للبدء في تطبيقات الجيب؟

Accepted Answer

توفر عوامل التمكين المختلفة (مشاريع ISVs وOSS) طرقًا لتمكين الحاويات السرية. راجع صفحة الحاويات السرية لمزيد من التفاصيل والإشارات الفردية إلى عمليات التنفيذ.

Question 15

ما هو الإثبات وكيف يمكننا أن نثبت التطبيقات التي تعمل في الجيوب؟

Accepted Answer

الإثبات عبارة عن عملية إثبات وتحقق من أن قطعة من البرامج قد تم إنشاء مثيل لها بشكل صحيح على منصة الأجهزة المحددة. كما يضمن إمكانية التحقق من الأدلة الخاصة به لتقديم ضمانات بأنه يعمل في نظام أساسي آمن ولم يتم العبث به. اقرأ المزيد حول كيفية إثبات تطبيقات الجيب.

Question 16

ماذا لو كان حجم الحاوية أكثر من ذاكرة EPC المتوفرة؟

Accepted Answer

تنطبق ذاكرة EPC على الجزء من التطبيق المبرمج للتنفيذ في الجيب. الحجم الإجمالي للحاوية ليس الطريقة الصحيحة لمقارنته مع أقصى ذاكرة EPC متوفرة. في الواقع، أجهزة DCSv2 المزودة بـ SGX تتيح أقصى ذاكرة لجهاز ظاهري بقيمة 32 غيغابايت، حيث سيستخدم الجزء الخاص بك غير الموثوق به من التطبيق. ومع ذلك، إذا كانت الحاوية تستهلك أكثر من ذاكرة EPC المتوفرة، فقد يتأثر أداء الجزء من البرنامج الذي يعمل في الجيب.

لإدارة ذاكرة EPC بشكل أفضل في العقد العاملة، ضع في الاعتبار إدارة الحدود المستندة إلى ذاكرة EPC من خلال Kubernetes. اتبع المثال أدناه كمرجع.

إشعار

يسحب المثال التالي صورة حاوية عامة من Docker Hub. نوصي بتعيين سحب سري للإثبات باستخدام حساب Docker Hub بدلاً من إجراء طلب سحب مجهول. لتحسين الموثوقية عند العمل مع المحتوى العامّ، قم باستيراد الصورة وإدارتها في سجل حاويات Azure خاص. تعرف على المزيد حول العمل مع الصور العامة.

apiVersion: batch/v1
kind: Job
metadata:
  name: sgx-test
  labels:
    app: sgx-test
spec:
  template:
    metadata:
      labels:
        app: sgx-test
    spec:
      containers:
      - name: sgxtest
        image: oeciteam/sgx-test: 1.0
        resources:
          limits:
            sgx.intel.com/sgx_epc_mem_in_MiB: 10 # This limit will automatically place the job into confidential computing node. Alternatively, you can target deployment to node pools
      restartPolicy: Never
  backoffLimit: 0

Question 17

ماذا يحدث إذا كان جيبي يستهلك أكثر من الحد الأقصى لذاكرة EPC المتوفرة؟

Accepted Answer

تتم مشاركة إجمالي الذاكرة EPC المتوفرة بين التطبيقات في الجيب في نفس الأجهزة الظاهرية أو العقد العاملة. إذا كان تطبيقك يستخدم ذاكرة EPC أكثر من المتوفرة، فحينئذٍ قد يتأثر أداء التطبيق. لهذا السبب، نوصي بتعيين التسامح لكل تطبيق في ملف yaml للنشر الخاص بك لإدارة ذاكرة EPC المتوفرة لكل عقد عاملة كما هو موضح في الأمثلة أعلاه. بدلاً من ذلك، يمكنك دائمًا اختيار الانتقال إلى أعلى على أحجام تجمع عقدة العامل للجهاز الظاهري أو إضافة المزيد من العقد.

Question 18

لماذا لا يمكنني القيام بصنع مستودع () والتنفيذ لتشغيل عمليات متعددة في تطبيق جيب؟

Accepted Answer

حاليًّا، تدعم الحوسبة السرية وحدة إدارة مخزون الأجهزة الظاهرية لـ Azure DCsv2 مساحة عنوان واحد للبرنامج المنفذ في جيب. عملية واحدة قيد الحالي مصممة حول الأمان العالي. ومع ذلك، قد تكون لتمكين حاوية سرية تطبيقات بديلة للتغلب على هذا القيد.

Question 19

هل يجب تحميل وحدات تخزين برنامج التشغيل في yaml للنشر الخاص بي؟

Accepted Answer

عدد يساعدك المنتج الذي يوفر الوظيفة الإضافية ACC التي تتضمن (confcom) في ذلك. اقرأ المزيد عن تفاصيل النشر هنا.

Question 20

هل يمكننا تغيير إصدار برنامج تشغيل Intel SGX DCAP الحالي على AKS؟

Accepted Answer

عدد لإجراء أي عمليات تثبيت مخصصة، نوصي باختيار عمليات نشر عُقد عامل الحوسبة السرية AKS-Engine.

Question 21

هل سيتم تحميل الصور الموقعة والموثوق بها فقط في الجيب للحوسبة السرية؟

Accepted Answer

ليس بصورة أصلية أثناء تهيئة الجيب، ولكن نعم من خلال عملية الإثبات، يمكن التحقق من صحة التوقيع. المرجع هنا.

Question 22

هل توقيع الحاوية ممكن لتوفير حماية تكامل التعليمات البرمجية للحاويات السرية؟

Accepted Answer

تسمح الحاويات السرية بالتوقيع على التعليمة البرمجية للجيب ولكن ليس على حاوية Docker نفسها. مع التوقيع على التعليمة البرمجية للجيب (وهي عادة التعليمة البرمجية لتطبيقك الأساسي في Java وPython،... إلخ)، ويمكنك التحقق من خلال شهادة تفاصيل MRSIGNER من التعليمة البرمجية للجيب قبل أن تتمكن من الثقة في التعليمات البرمجية وبيئة التنفيذ من خلال تدفق الإثبات.

مشاركة عبر

الأسئلة المتداولة حول عُقد الحوسبة السرية على خدمة Azure Kubernetes (AKS)

المنتج