Mit vSphere with Tanzu können Sie vertrauliche vSphere-Pods auf einem Supervisor-Cluster ausführen. Ein vertraulicher vSphere Pod verwendet eine Hardwaretechnologie, mit der der Arbeitsspeicher des Gastbetriebssystem verschlüsselt bleibt und vor dem Zugriff durch den Hypervisor geschützt wird.
Ab vSphere 7.0 Update 2 können Sie vertrauliche
vSphere-Pods erstellen, indem Sie SEV-ES (Secure Encrypted Virtualization-Encrypted State) als zusätzliche Sicherheitsverbesserung hinzufügen. SEV-ES verhindert, dass CPU-Register Informationen aus Registern an Komponenten wie den Hypervisor weitergeben. SEV-ES kann auch böswillige Änderungen an einem CPU-Registerzustand erkennen. Weitere Informationen zur Verwendung der SEV-ES-Technologie in der vSphere-Umgebung finden Sie unter
Sichern von virutellen Maschinen mit AMD Secore Curing Virtual Machines with AMD SEV-ES (Secure Encrypted Virtualization-Encrypted State).
Voraussetzungen
Um SEV-ES auf einem
ESXi zu aktivieren, muss ein vSphere-Administrator die folgenden Richtlinien befolgen:
- Verwenden Sie die Hosts, die die SEV-ES-Funktionalität unterstützen. Derzeit unterstützt SEV-ES nur AMD EPYC 7xx2-CPUs (Code mit dem Namen Rome) und höhere CPUs.
- Verwenden Sie ESXi Version von 7.0 Update 2 oder höher.
- Aktivieren Sie SEV-ES in der BIOS-Konfiguration eines ESXi-Systems. In der Systemdokumentation finden Sie weitere Informationen zum Zugriff auf die BIOS-Konfiguration.
- Geben Sie bei Aktivierung von SEV-ES im BIOS einen Wert für die Einstellung Mindestanzahl SEV-Nicht-ES-ASID ein, die der Anzahl an SEV-ES-VMs und vertraulichen vSphere-Pods-Host plus eins entspricht. Wenn Sie beispielsweise 100 SEV-ES-VMs und 128 VMs vSphere-Pods ausführen möchten, geben Sie mindestens 229 ein. Sie können eine Einstellung bis zu 500 eingeben.
Prozedur
- Erstellen Sie eine YAML-Datei, die die folgenden Parameter enthält.
- Aktivieren Sie unter Anmerkungen die Funktion für vertrauliche vSphere-Pods.
...
annotations:
vmware/confidential-pod: enabled
...
- Geben Sie Arbeitsspeicherressourcen für Container an.
Stellen Sie sicher, dass Arbeitsspeicheranforderungen und Arbeitsspeichergrenzwerte auf denselben Wert festgelegt werden, wie in diesem Beispiel.
resources:
requests:
memory: "512Mi"
limits:
memory: "512Mi"
Verwenden Sie die folgende YAML-Datei als Beispiel:
apiVersion: v1
kind: Pod
metadata:
name: photon-pod
namespace: my-podvm-ns
annotations:
vmware/confidential-pod: enabled
spec: # specification of the pod's contents
restartPolicy: Never
containers:
- name: photon
image: wcp-docker-ci.artifactory.eng.vmware.com/vmware/photon:1.0
command: ["/bin/sh"]
args: ["-c", "while true; do echo hello, world!; sleep 1; done"]
resources:
requests:
memory: "512Mi"
limits:
memory: "512Mi"
- Melden Sie sich beim Supervisor-Cluster an.
kubectl vsphere login --server=https://<server_adress> --vsphere-username <your user account name>
- Wechseln Sie zu dem Namespace, in dem Sie die Anwendung bereitstellen möchten.
kubectl config use-context <namespace>
- Stellen Sie eine vertrauliche vSphere Pod aus der YAML-Datei bereit:
kubectl apply -f <yaml file name>.yaml
Hinweis: Wenn die
vSphere Pod bereitgestellt ist, platziert DRS sie auf dem
ESXi-Knoten, der SEV-ES unterstützt. Wenn kein solcher Knoten verfügbar ist, wird die
vSphere Pod als fehlgeschlagen gekennzeichnet.
Die gestartete vertrauliche vSphere Pod bietet eine Untesrtützung der Hardware-Arbeitsspeicherverschlüsselung für alle Arbeitslasten, die auf diesem Pod ausgeführt werden.
- Führen Sie den folgenden Befehl aus, um sicherzustellen, dass die vertrauliche vSphere Pod erstellt wurde.
kubectl describe pod/<yaml name>
Nächste Maßnahme
Ein vSphere-Administrator kann die vertrauliche
vSphere Pod einsehen. Im
vSphere Client wird sie mit dem Tag
Verschlüsselungsmodus: Vertrauliches Berechnen angezeigt.
