Chiffrer les données de charge de travail utilisées avec des nœuds de type Confidential GKE Node

Cette page vous explique comment appliquer le chiffrement des données utilisées dans vos nœuds et vos charges de travail à l'aide des nœuds Confidential Google Kubernetes Engine (GKE) Node. L'application du chiffrement peut contribuer à renforcer la sécurité de vos charges de travail.

Cette page s'adresse aux spécialistes de la sécurité qui mettent en œuvre des mesures de sécurité sur GKE. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud , consultez Rôles utilisateur et tâches courantes de l'utilisateur dans GKE Enterprise.

Avant de lire cette page, assurez-vous de connaître le concept de données en cours d'utilisation.

Que sont les nœuds Confidential GKE Node ?

Vous pouvez chiffrer vos charges de travail avec des nœuds Confidential GKE ou le mode confidentiel pour Hyperdisk Balanced.

Nœuds Confidential GKE Node

Les nœuds Confidential GKE s'appuient sur les Confidential VMs Compute Engine, qui utilisent le chiffrement de la mémoire basé sur le matériel pour protéger les données en cours d'utilisation. Les nœuds Confidential GKE Node sont compatibles avec les technologies d'informatique confidentielle suivantes :

  • AMD SEV (Secure Encrypted Virtualization)
  • AMD SEV-SNP (Secure Encrypted Virtualization-Secure Nested Paging)
  • Intel Trust Domain Extensions (TDX)

Pour en savoir plus sur ces technologies et obtenir de l'aide pour choisir celle qui correspond le mieux à vos besoins, consultez la présentation de Confidential VM.

Les nœuds Confidential GKE ne modifient pas les mesures de sécurité que GKE applique aux plans de contrôle des clusters. Pour en savoir plus sur ces mesures, consultez Sécurité du plan de contrôle. Pour savoir qui accède aux plans de contrôle dans vos projets Google Cloud, utilisez Access Transparency.

Pour activer les nœuds Confidential GKE Node, vous pouvez procéder comme suit :

  • Créer un cluster
  • Déployer une charge de travail avec le provisionnement automatique des nœuds
  • Créer un pool de nœuds
  • Mettre à jour un pool de nœuds existant

Vous ne pouvez pas mettre à jour un cluster existant pour modifier le paramètre "Confidential GKE Nodes" au niveau du cluster.

Le tableau suivant présente le comportement de GKE qui s'applique lorsque vous activez les nœuds Confidential GKE Node :

Paramètre "Confidential GKE Nodes" Procédure de configuration Comportement
Au niveau du cluster Créer un cluster en mode Autopilot ou Standard

Tous les nœuds utilisent des nœuds Confidential GKE Node. Cette opération est irréversible. Vous ne pouvez pas remplacer le paramètre pour des nœuds individuels.

Dans les clusters GKE Autopilot, tous les nœuds utilisent automatiquement la série de machines par défaut pour la classe de calcul "Équilibrée", à savoir N2D.
Au niveau du pool de nœuds
  • Créer un pool de nœuds Standard
  • Mettre à jour un pool de nœuds standard existant
 GKE chiffre le contenu de la mémoire des nœuds de ce pool de nœuds. Cela n'est possible que si les nœuds Confidential GKE Node sont désactivés au niveau du cluster.

Mode confidentiel pour Hyperdisk Balanced

Vous pouvez également activer le mode confidentiel pour Hyperdisk Balanced sur le stockage de votre disque de démarrage, ce qui chiffre vos données dans des enclaves supplémentaires soutenues par du matériel.

Vous pouvez activer le mode confidentiel pour Hyperdisk Balanced lorsque vous effectuez l'une des opérations suivantes :

  • Créer un cluster
  • Créer un pool de nœuds

Vous ne pouvez pas mettre à jour un cluster ou un pool de nœuds existant pour modifier le paramètre "Mode confidentiel pour Hyperdisk équilibré".

Le tableau suivant présente le comportement de GKE qui s'applique lorsque vous activez le paramètre "Mode confidentiel pour Hyperdisk équilibré" au niveau du cluster ou du pool de nœuds :

Paramètre du mode confidentiel pour Hyperdisk Balanced Procédure de configuration Comportement
Au niveau du cluster Créer un cluster Seul le pool de nœuds par défaut du cluster utilisera le paramètre "Mode confidentiel pour Hyperdisk Balanced". Vous ne pouvez pas effectuer les opérations suivantes :
  • Désactiver le paramètre "Mode confidentiel pour Hyperdisk Balanced" pour un pool de nœuds existant dans le cluster
  • Activer le paramètre "Mode confidentiel pour Hyperdisk Balanced" sur les clusters existants
Au niveau du pool de nœuds Créer un pool de nœuds Vous pouvez configurer le paramètre "Mode confidentiel pour Hyperdisk équilibré" pour tous les nouveaux pools de nœuds au moment de leur création. Vous ne pouvez pas mettre à jour les pools de nœuds existants pour utiliser le paramètre "Mode confidentiel pour Hyperdisk Balanced".

Tarifs

Les tarifs suivants s'appliquent :

  • Autopilot :

    1. Vous êtes facturé en fonction des tarifs de la classe de calcul équilibrée, car l'activation des nœuds Confidential GKE modifie la série de machines par défaut du cluster en N2D. Pour en savoir plus sur les tarifs, consultez la page Tarifs du mode Autopilot.
    2. Les nœuds Confidential GKE entraînent des coûts en plus des tarifs de GKE Autopilot. Pour en savoir plus, consultez la section "Tarification des nœuds Confidential GKE sur GKE Autopilot" dans Tarification des VM confidentielles.

  • Standard : le déploiement de nœuds Confidential GKE Node n'entraîne aucun coût supplémentaire, en dehors du coût des Confidential VMs de Compute Engine. Toutefois, les nœuds Confidential GKE Node sont susceptibles de générer un volume de données de journal légèrement supérieur au démarrage en comparaison aux nœuds standards. Pour en savoir plus sur la tarification des journaux, consultez la page Tarifs de Google Cloud Observability.

Disponibilité

Les nœuds Confidential GKE Node présentent les exigences de disponibilité suivantes :

  • Vos nœuds doivent se trouver dans une zone ou une région compatible avec la technologie informatique confidentielle que vous sélectionnez. Pour en savoir plus, consultez Afficher les zones compatibles.
  • Vos clusters Autopilot doivent utiliser GKE version 1.30.2 ou ultérieure.
  • Vos pools de nœuds Standard doivent utiliser l'un des types de machines compatibles et l'image de nœud Container-Optimized OS.

Avant de commencer

Avant de commencer, effectuez les tâches suivantes :

  • Activez l'API Google Kubernetes Engine.
    • Activer l'API Google Kubernetes Engine
  • Si vous souhaitez utiliser Google Cloud CLI pour cette tâche, installez puis initialisez gcloud CLI. Si vous avez déjà installé gcloud CLI, assurez-vous de disposer de la dernière version en exécutant la commande gcloud components update.

Conditions requises

  • Vos clusters Autopilot doivent utiliser GKE version 1.30.2 ou ultérieure.
  • Vos pools de nœuds Standard doivent utiliser l'un des types de machines compatibles et l'image de nœud Container-Optimized OS.

  • Vos clusters et pools de nœuds Standard doivent utiliser l'une des versions de GKE suivantes, en fonction de la technologie informatique confidentielle que vous choisissez :

    • AMD SEV : toute version de GKE disponible.
    • AMD SEV-SNP : 1.32.2-gke.1297000 ou version ultérieure.
    • Intel TDX : 1.32.2-gke.1297000 ou version ultérieure.

Utiliser des nœuds Confidential GKE Node dans Autopilot

Vous pouvez activer les nœuds Confidential GKE Node pour l'ensemble d'un cluster Autopilot, ce qui fait de chaque nœud un nœud confidentiel. Toutes vos charges de travail s'exécutent sur des nœuds confidentiels sans qu'il soit nécessaire de modifier les fichiers manifestes des charges de travail. L'activation des nœuds Confidential GKE Node remplace la série de machines par défaut du cluster par N2D.

Activer les nœuds Confidential GKE Node sur un nouveau cluster Autopilot

Exécutez la commande suivante :

gcloud container clusters create-auto CLUSTER_NAME \
    --location=LOCATION \
    --enable-confidential-nodes

Remplacez les éléments suivants :

  • CLUSTER_NAME : nom du cluster Autopilot.
  • LOCATION : emplacement Compute Engine du cluster.

Le cluster doit exécuter la version 1.30.2 ou ultérieure. Pour définir une version spécifique lorsque vous créez un cluster, consultez Définir la version et la version disponible d'un nouveau cluster Autopilot.

Utiliser des nœuds Confidential GKE Node en mode Standard

Vous pouvez activer les nœuds Confidential GKE Node au niveau du cluster ou du pool de nœuds en mode Standard.

Activer les nœuds Confidential GKE Node sur des clusters Standard

Vous pouvez spécifier une technologie d'informatique confidentielle pour vos nœuds lorsque vous créez un cluster. Spécifier la technologie lors de la création d'un cluster a les effets suivants :

  • Vous ne pouvez pas créer de pools de nœuds qui n'utilisent pas les nœuds Confidential GKE Node dans ce cluster.
  • Vous ne pouvez pas mettre à jour le cluster pour désactiver les nœuds Confidential GKE Node.
  • Vous ne pouvez pas remplacer la technologie de informatique confidentielle au niveau du cluster dans des pools de nœuds individuels.

La configuration d'un paramètre de informatique confidentielle au niveau du cluster est définitive. Par conséquent, tenez compte des cas d'utilisation suivants avant de créer votre cluster :

  • Pour utiliser le provisionnement automatique des nœuds dans votre cluster, vous devez effectuer toutes les opérations suivantes :

    • Utilisez la gcloud CLI pour créer votre cluster et spécifier l'indicateur --enable-confidential-nodes dans la commande de création du cluster.
    • Sélectionnez une technologie informatique confidentielle compatible avec le provisionnement automatique des nœuds.

    Pour en savoir plus, consultez la section Utiliser les nœuds Confidential GKE avec le provisionnement automatique des nœuds.

  • Pour utiliser différentes technologies de informatique confidentielle afin de chiffrer des pools de nœuds spécifiques dans le cluster, ignorez cette section et spécifiez la technologie au niveau du pool de nœuds.

Pour créer un cluster en mode Standard qui utilise des nœuds Confidential GKE Node, sélectionnez l'une des options suivantes :

gcloud

Lors de la création d'un cluster, spécifiez l'option --confidential-node-type dans gcloud CLI :

gcloud container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

Remplacez les éléments suivants :

  • CLUSTER_NAME : nom du cluster
  • LOCATION : emplacement Compute Engine du cluster. L'emplacement doit être compatible avec la technologie d'informatique confidentielle que vous spécifiez. Pour en savoir plus, consultez la section Disponibilité.
  • MACHINE_TYPE : type de machine compatible avec la technologie de informatique confidentielle que vous spécifiez. Pour en savoir plus, consultez la section Disponibilité.

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY : technologie d'informatique confidentielle à utiliser. Les valeurs suivantes sont acceptées :

    • sev : AMD SEV
    • sev_snp : AMD SEV-SNP
    • tdx : Intel TDX

Vous pouvez également utiliser l'option --enable-confidential-nodes dans la commande de création de votre cluster. Si vous ne spécifiez que cette option dans votre commande, le cluster utilise AMD SEV. Le type de machine que vous spécifiez dans la commande doit être compatible avec AMD SEV. Toutefois, si vous spécifiez l'option --confidential-node-type dans la même commande, GKE utilise la valeur que vous spécifiez dans l'option --confidential-node-type.

Console

  1. Dans la console Google Cloud , accédez à la page Créer un cluster Kubernetes.

    Accéder à la page "Créer un cluster Kubernetes"

  2. Dans le volet de navigation, cliquez sur Sécurité sous Cluster.

  3. Cochez la case Activer les nœuds Confidential GKE Node.

  4. Configurez le cluster selon vos besoins.

  5. Cliquez sur Créer.

Pour en savoir plus sur la création de clusters, consultez la page Créer un cluster régional.

Pour tout pool de nœuds créé avec le paramètre "Mode confidentiel pour Hyperdisk Balanced", seuls les nœuds du pool de nœuds sont limités à la configuration. Pour tout nouveau pool de nœuds créé dans le cluster, vous devez configurer le mode confidentiel lors de la création.

Activer les nœuds Confidential GKE Node sur des pools de nœuds

Vous pouvez activer les nœuds Confidential GKE Node sur des pools de nœuds spécifiques si les nœuds Confidential GKE Node sont désactivés au niveau du cluster.

Le mode confidentiel pour le paramètre Hyperdisk Balanced doit être spécifié lors de la requête de création du pool de nœuds.

Créer un pool de nœuds

Pour créer un pool de nœuds avec les nœuds Confidential GKE Node activés, exécutez la commande suivante :

gcloud container node-pools create NODE_POOL_NAME \
    --location=LOCATION \
    --cluster=CLUSTER_NAME \
    --machine-type=MACHINE_TYPE \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

Remplacez les éléments suivants :

  • NODE_POOL_NAME : nom de votre nouveau pool de nœuds.
  • LOCATION : emplacement de votre nouveau pool de nœuds. Le lieu doit être compatible avec la technologie d'informatique confidentielle que vous spécifiez. Pour en savoir plus, consultez la section Disponibilité.
  • CLUSTER_NAME : nom du cluster
  • MACHINE_TYPE : type de machine compatible avec la technologie de informatique confidentielle que vous spécifiez. Pour en savoir plus, consultez la section Disponibilité.

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY : technologie d'informatique confidentielle à utiliser. Les valeurs suivantes sont acceptées :

    • sev : AMD SEV
    • sev_snp : AMD SEV-SNP
    • tdx : Intel TDX

Vous pouvez également utiliser l'option --enable-confidential-nodes dans la commande de création de votre cluster. Si vous ne spécifiez que cette option dans votre commande, le cluster utilise AMD SEV. Le type de machine que vous spécifiez dans la commande doit être compatible avec AMD SEV. Toutefois, si vous spécifiez l'option --confidential-node-type dans la même commande, GKE utilise la valeur que vous spécifiez dans l'option --confidential-node-type.

Mettre à jour un pool de nœuds existant

Cette modification nécessite de recréer les nœuds, ce qui peut perturber vos charges de travail en cours d'exécution. Pour en savoir plus sur cette modification spécifique, recherchez la ligne correspondante dans le tableau Modifications manuelles qui recréent les nœuds à l'aide d'une stratégie de mise à niveau des nœuds sans respecter les règles de maintenance. Pour en savoir plus sur les mises à jour des nœuds, consultez Planifier les interruptions liées aux mises à jour des nœuds.

Vous pouvez mettre à jour des pools de nœuds existants pour utiliser les nœuds Confidential GKE Node ou pour changer la technologie de informatique confidentielle utilisée par les nœuds. Pour mettre à jour un pool de nœuds existant afin d'utiliser des nœuds Confidential GKE Node, exécutez la commande suivante :

gcloud container node-pools update NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

Remplacez les éléments suivants :

  • NODE_POOL_NAME : nom de votre pool de nœuds.
  • CLUSTER_NAME : nom du cluster

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY : technologie d'informatique confidentielle à utiliser. Les valeurs suivantes sont acceptées :

    • sev : AMD SEV
    • sev_snp : AMD SEV-SNP
    • tdx : Intel TDX

Les nœuds doivent déjà utiliser un type de machine compatible avec la technologie informatique confidentielle que vous souhaitez leur appliquer. Si vos nœuds utilisent un type de machine qui n'est pas compatible avec la technologie choisie (par exemple, si vous utilisez un type de machine avec des processeurs AMD et que vous souhaitez activer Intel TDX), procédez comme suit :

  1. Si le pool de nœuds utilise déjà des nœuds Confidential GKE Node, désactivez-les.
  2. Modifiez le type de machine du pool de nœuds.
  3. Mettez à jour le pool de nœuds pour qu'il utilise le nouveau paramètre de informatique confidentielle en exécutant la commande précédente.

Utiliser des nœuds Confidential GKE Node avec le provisionnement automatique des nœuds

Vous pouvez configurer le provisionnement automatique des nœuds pour utiliser les nœuds Confidential GKE Node dans les pools de nœuds provisionnés automatiquement. L'auto-provisionnement des nœuds est compatible avec les technologies d'informatique confidentielle suivantes :

  • AMD SEV
  • AMD SEV-SNP

Pour utiliser des nœuds GKE confidentiels avec le provisionnement automatique de nœuds, spécifiez l'option --enable-confidential-nodes de gcloud CLI lorsque vous créez un cluster, un pool de nœuds ou que vous mettez à jour un pool de nœuds. Les considérations supplémentaires suivantes s'appliquent :

  • Créez un pool de nœuds provisionné automatiquement : assurez-vous que la technologie de informatique confidentielle que vous choisissez est compatible avec le provisionnement automatique des nœuds.
  • Mettre à jour un pool de nœuds existant : assurez-vous que la technologie informatique confidentielle que vous choisissez est compatible avec le provisionnement automatique des nœuds.
  • Créez un cluster : assurez-vous que la technologie de informatique confidentielle que vous choisissez est compatible avec le provisionnement automatique des nœuds. Ce choix est irréversible au niveau du cluster.
  • Mettre à jour un cluster existant : le cluster doit déjà utiliser des nœuds GKE confidentiels. La technologie Confidential GKE Nodes utilisée par le cluster doit être compatible avec le provisionnement automatique des nœuds.

Placer des charges de travail uniquement sur des pools de nœuds Confidential GKE Nodes

Si vous activez les nœuds Confidential GKE Node au niveau du cluster, toutes vos charges de travail s'exécutent sur des nœuds confidentiels. Vous n'avez pas besoin de modifier vos fichiers manifestes. Toutefois, si vous n'activez les nœuds Confidential GKE Node que pour des pools de nœuds en mode Standard spécifiques, vous devez indiquer de manière déclarative que vos charges de travail ne doivent s'exécuter que sur des pools de nœuds avec des nœuds Confidential GKE Node.

  • Pour exiger qu'une charge de travail s'exécute sur une technologie informatique confidentielle spécifique, utilisez un sélecteur de nœud avec le libellé cloud.google.com/gke-confidential-nodes-instance-type, comme dans l'exemple suivant :

    apiVersion: v1
kind: Pod
spec:
# For readability, lines are omitted from this example manifest
  nodeSelector:
    cloud.google.com/gke-confidential-nodes-instance-type: "CONFIDENTIAL_COMPUTE_SELECTOR"

    Remplacez CONFIDENTIAL_COMPUTE_SELECTOR par le nom de la technologie utilisée par le pool de nœuds. Ce champ accepte les valeurs suivantes, que vous devez spécifier en majuscules :

    • SEV : AMD SEV
    • SEV_SNP : AMD SEV-SNP
    • TDX : Intel TDX

  • Pour permettre à une charge de travail de s'exécuter sur n'importe quel nœud confidentiel, quelle que soit la technologie informatique confidentielle, utilisez une règle d'affinité de nœuds, comme dans l'exemple suivant :

    apiVersion: v1
kind: Pod
spec:
  containers:
  - name: confidential-app
    image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: cloud.google.com/gke-confidential-nodes-instance-type
            operator: Exists

  • Pour permettre à une charge de travail de s'exécuter sur des nœuds qui n'utilisent qu'un sous-ensemble des technologies de informatique confidentielle disponibles, utilisez une règle d'affinité de nœuds semblable à l'exemple suivant :

    apiVersion: v1
kind: Pod
spec:
  containers:
  - name: confidential-app
    image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: cloud.google.com/gke-confidential-nodes-instance-type
            operator: In
            values:
            - SEV
            - SEV_SNP
            - TDX

    Dans le champ values, spécifiez uniquement les technologies d'informatique confidentielle sur lesquelles vous souhaitez exécuter la charge de travail.

Vérifier que les nœuds Confidential GKE Node sont activés

Vous pouvez vérifier si vos clusters ou nœuds utilisent des nœuds Confidential GKE Node en les inspectant.

Sur les clusters en mode Autopilot ou Standard

Vous pouvez vérifier que votre cluster Autopilot ou Standard utilise des nœuds Confidential GKE à l'aide de gcloud CLI ou de laGoogle Cloud console.

gcloud

Décrivez le cluster :

gcloud container clusters describe CLUSTER_NAME

Si les nœuds Confidential GKE Node sont activés, le résultat ressemble à ce qui suit, selon le mode de fonctionnement de votre cluster.

Clusters en mode standard

confidentialNodes:
  confidentialInstanceType: CONFIDENTIAL_COMPUTE_SELECTOR

Clusters en mode Autopilot

confidentialNodes:
  enabled: true

Console

  1. Accédez à la page Google Kubernetes Engine dans la console Google Cloud .

    Accéder à Google Kubernetes Engine

  2. Cliquez sur le nom du cluster que vous souhaitez inspecter.

  3. Sous Sécurité, dans le champ Nœuds Confidential GKE Node, vérifiez que les nœuds Confidential GKE Node sont Activés.

Sur les nœuds en mode Autopilot ou Standard

Pour vérifier si des nœuds Autopilot ou Standard spécifiques utilisent des nœuds Confidential GKE Node, procédez comme suit :

  1. Recherchez le nom du nœud :

    kubectl get nodes

  2. Décrivez le nœud :

    kubectl describe NODE_NAME

    Remplacez NODE_NAME par le nom d'un nœud à inspecter.

Le résultat ressemble à ce qui suit :

Name:               gke-cluster-1-default-pool-affsf335r-asdf
Roles:              <none>
Labels:             cloud.google.com/gke-boot-disk=pd-balanced
                    cloud.google.com/gke-container-runtime=containerd
                    cloud.google.com/gke-confidential-nodes-instance-type=CONFIDENTIAL_COMPUTE_SELECTOR
                    cloud.google.com/gke-nodepool=default-pool
                    cloud.google.com/gke-os-distribution=cos
                    cloud.google.com/machine-family=e2
# lines omitted for clarity

Dans ce résultat, le libellé de nœud cloud.google.com/gke-confidential-nodes-instance-type indique que le nœud est un nœud confidentiel.

Sur les pools de nœuds en mode Standard

Pour vérifier que votre pool de nœuds utilise des nœuds Confidential GKE Node, exécutez la commande suivante :

gcloud container node-pools describe NODE_POOL_NAME \
    --cluster=CLUSTER_NAME

Si les nœuds Confidential GKE Node sont activés, le résultat ressemble à ce qui suit :

confidentialNodes:
  cloud.google.com/gke-confidential-nodes-instance-type=CONFIDENTIAL_COMPUTE_SELECTOR

Si le paramètre "Mode confidentiel pour Hyperdisk Balanced" est activé, le résultat ressemble à ce qui suit :

enableConfidentialStorage: true

Sur les nœuds en mode standard individuels

Pour valider la confidentialité de nœuds spécifiques dans les clusters standards, effectuez l'une des opérations suivantes :

Définir des contraintes de règle d'administration

Vous pouvez définir une contrainte de règle d'administration pour vous assurer que toutes les ressources de VM créées dans votre organisation sont des instances de Confidential VM. Pour GKE, vous pouvez personnaliser la contrainte Limiter l'informatique non confidentielle pour exiger que tous les clusters soient créés avec l'une des technologies d'informatique confidentielle disponibles activée. Ajoutez le nom du service d'API container.googleapis.com à la liste de refus lors de l'application des contraintes de règle d'administration, comme dans l'exemple suivant :

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com container.googleapis.com \
    --project=PROJECT_ID

Remplacez PROJECT_ID par l'ID du projet.

Créer un PersistentVolume pour le mode confidentiel pour Hyperdisk Balanced

Pour obtenir des conseils sur les valeurs autorisées pour le débit ou les IOPS, consultez la section Planifier le niveau de performances de vos volumes Hyperdisk.

Les exemples suivants montrent comment créer une StorageClass en mode confidentiel pour les StorageClass Hyperdisk Balanced pour chaque type de volume Hyperdisk :

Volume Hyperdisk équilibré

  1. Enregistrez le fichier manifeste suivant dans un fichier nommé confidential-hdb-example-class.yaml :

    apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: balanced-storage
provisioner: pd.csi.storage.gke.io
volumeBindingMode: WaitForFirstConsumer
allowVolumeExpansion: true
parameters:
  type: hyperdisk-balanced
  provisioned-throughput-on-create: "250Mi"
  provisioned-iops-on-create: "7000"
  enable-confidential-storage: true
  disk-encryption-kms-key: "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/HSM_KEY_NAME"

    Remplacez les éléments suivants :

    • KMS_PROJECT_ID : projet propriétaire de la clé Cloud KMS.
    • REGION : la région où se trouve le disque.
    • KEY_RING : nom du trousseau de clés qui inclut la clé
    • HSM_KEY_NAME : nom de la clé HSM utilisée pour chiffrer le disque.

  2. Créez la StorageClass :

    kubectl create -f hdb-example-class.yaml

  3. Créez une réclamation de volume persistant Hyperdisk pour GKE qui utilise votre mode Confidentiel pour le volume Hyperdisk équilibré.

Pour trouver le nom des StorageClasses disponibles dans votre cluster, exécutez la commande suivante :

kubectl get sc

Limites

Les nœuds Confidential GKE Node présentent les limites suivantes :

Limites de la migration à chaud

Les Confidential VM Compute Engine qui utilisent le type de machine N2D et AMD SEV comme technologie de informatique confidentielle sont compatibles avec la migration à chaud, ce qui minimise les perturbations potentielles de la charge de travail lors d'un événement de maintenance de l'hôte. La migration à chaud est disponible dans les versions GKE suivantes :

  • 1.27.10-gke.1218000 et versions ultérieures
  • 1.28.6-gke.1393000 et versions ultérieures
  • 1.29.1-gke.1621000 et versions ultérieures

Si vos pools de nœuds exécutaient déjà une version compatible lorsque la migration en direct a été ajoutée, mettez-les à niveau manuellement vers la même version compatible ou une autre. La mise à niveau des nœuds déclenche leur recréation, et la migration en direct est activée sur les nouveaux nœuds.

Pour savoir quels types de machines Compute Engine sont compatibles avec la migration à chaud, consultez Configurations compatibles.

Si un événement de maintenance de l'hôte se produit sur un nœud qui n'est pas compatible avec la migration à chaud, le nœud passe à l'état NotReady. L'exécution des pods entraîne des interruptions jusqu'à ce que le nœud soit à nouveau prêt. Si la maintenance prend plus de cinq minutes, GKE peut essayer de recréer les pods sur d'autres nœuds.

Désactiver les nœuds Confidential GKE Node

Vous ne pouvez désactiver les nœuds Confidential GKE Node que dans les pools de nœuds en mode Standard. Si le pool de nœuds se trouve dans un cluster qui utilise des nœuds Confidential GKE Node au niveau du cluster, vous ne pouvez pas désactiver la fonctionnalité au niveau du pool de nœuds.

Exécutez la commande suivante pour désactiver les nœuds Confidential GKE Node sur un pool de nœuds :

gcloud container node-pools update NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --no-enable-confidential-nodes

Cette modification nécessite de recréer les nœuds, ce qui peut perturber vos charges de travail en cours d'exécution. Pour en savoir plus sur cette modification spécifique, recherchez la ligne correspondante dans le tableau Modifications manuelles qui recréent les nœuds à l'aide d'une stratégie de mise à niveau des nœuds sans respecter les règles de maintenance. Pour en savoir plus sur les mises à jour des nœuds, consultez Planifier les interruptions liées aux mises à jour des nœuds.

Étapes suivantes