Halaman ini menunjukkan cara menerapkan enkripsi data aktif di node dan workload menggunakan Confidential Google Kubernetes Engine Nodes. Menerapkan enkripsi dapat membantu meningkatkan keamanan workload Anda.
Halaman ini ditujukan bagi spesialis Keamanan yang menerapkan langkah-langkah keamanan di GKE. Untuk mempelajari lebih lanjut peran umum dan contoh tugas yang kami referensikan dalam konten Google Cloud , lihat Peran dan tugas pengguna umum GKE Enterprise.
Sebelum membaca halaman ini, pastikan Anda memahami konsep data yang sedang digunakan.
Apa yang dimaksud dengan Confidential GKE Nodes?
Anda dapat mengenkripsi workload dengan Confidential GKE Node atau Mode rahasia untuk Hyperdisk Balanced.
Confidential GKE Nodes
Confidential GKE Node dibangun dengan memanfaatkan Confidential VM Compute Engine, yang menggunakan enkripsi memori berbasis hardware untuk melindungi data aktif. Confidential GKE Node mendukung teknologi Confidential Computing berikut:
- AMD Secure Encrypted Virtualization (SEV)
- AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)
- Ekstensi Domain Tepercaya (TDX) Intel
Untuk mengetahui detail tentang teknologi ini dan bantuan dalam memilih yang paling sesuai dengan persyaratan Anda, lihat Ringkasan Confidential VM.
Confidential GKE Node tidak mengubah tindakan keamanan yang diterapkan GKE pada bidang kontrol cluster. Untuk mempelajari langkah-langkah ini, lihat Keamanan bidang kontrol. Untuk visibilitas atas siapa yang mengakses panel kontrol di project Google Cloud Anda, gunakan Transparansi Akses.
Anda dapat melakukan hal berikut untuk mengaktifkan Confidential GKE Node:
- Buat cluster baru
- Men-deploy workload dengan penyediaan otomatis node
- Membuat node pool
- Memperbarui node pool yang ada
Anda tidak dapat mengupdate cluster yang ada untuk mengubah setelan Confidential GKE Node pada level cluster.
Tabel berikut menunjukkan perilaku GKE yang berlaku saat Anda mengaktifkan Confidential GKE Node:
| Setelan Confidential GKE Node | Cara mengonfigurasi | Perilaku |
|---|---|---|
| Tingkat cluster | Membuat cluster mode Autopilot atau Standard baru | Semua node menggunakan Confidential GKE Node. Operasi ini tidak dapat diurungkan. Anda tidak dapat mengganti setelan untuk setiap node. Di cluster GKE Autopilot, semua node otomatis menggunakan seri mesin default untuk class komputasi Seimbang, yaitu N2D. |
| Level node pool |
|
GKE mengenkripsi konten memori node di node pool tersebut. Hal ini hanya dapat dilakukan jika Confidential GKE Node dinonaktifkan di tingkat cluster. |
Mode rahasia untuk Hyperdisk Balanced
Anda juga dapat mengaktifkan Mode rahasia untuk Hyperdisk Balanced di penyimpanan disk boot Anda, yang mengenkripsi data Anda di enklave tambahan yang didukung hardware.
Anda dapat mengaktifkan Mode rahasia untuk Hyperdisk Balanced saat melakukan salah satu tindakan berikut:
- Buat cluster baru
- Membuat node pool baru
Anda tidak dapat mengupdate cluster atau node pool yang ada untuk mengubah setelan Mode rahasia untuk Hyperdisk Balanced.
Tabel berikut menunjukkan perilaku GKE yang berlaku saat Anda mengaktifkan mode Confidential untuk setelan Hyperdisk Seimbang di level cluster atau di level node pool:
| Setelan mode rahasia untuk Hyperdisk Balanced | Cara mengonfigurasi | Perilaku |
|---|---|---|
| Level cluster | Buat cluster baru | Hanya node pool default di cluster yang akan menggunakan
setelan Mode rahasia untuk Hyperdisk Balanced. Anda tidak dapat melakukan
tindakan berikut:
|
| Level node pool | Membuat node pool baru | Anda dapat mengonfigurasi setelan Mode rahasia untuk Hyperdisk Balanced untuk node pool baru pada waktu pembuatan. Anda tidak dapat mengupdate node pool yang ada untuk menggunakan setelan Mode rahasia untuk Hyperdisk Balanced. |
Harga
Harga berikut berlaku:
Autopilot:
- Anda akan dikenai biaya berdasarkan harga class komputasi Balanced karena mengaktifkan Confidential GKE Node akan mengubah seri mesin default di cluster menjadi N2D. Untuk mengetahui detail harga, lihat Harga Autopilot.
- Anda akan dikenai biaya untuk Confidential GKE Node selain harga GKE Autopilot. Untuk mengetahui detailnya, lihat bagian "Harga Confidential GKE Node di GKE Autopilot" di Harga Confidential VM.
Standar: Tidak ada biaya tambahan untuk men-deploy Confidential GKE Node, selain biaya Confidential VM Compute Engine. Namun, Confidential GKE Node mungkin menghasilkan data log yang sedikit lebih banyak daripada node standar saat startup. Untuk mengetahui informasi tentang harga log, lihat Harga Google Cloud Observability.
Ketersediaan
Confidential GKE Node memiliki persyaratan ketersediaan berikut:
- Node Anda harus berada di zona atau region yang mendukung teknologi Confidential Computing yang Anda pilih. Untuk mengetahui informasi selengkapnya, lihat Melihat zona yang didukung.
- Cluster Autopilot Anda harus menggunakan GKE versi 1.30.2 atau yang lebih baru.
- Node pool Standar Anda harus menggunakan salah satu jenis mesin yang didukung dan image node Container-Optimized OS.
Sebelum memulai
Sebelum memulai, pastikan Anda telah menjalankan tugas berikut:
- Aktifkan Google Kubernetes Engine API. Aktifkan Google Kubernetes Engine API
- Jika ingin menggunakan Google Cloud CLI untuk tugas ini,
instal lalu
lakukan inisialisasi
gcloud CLI. Jika sebelumnya Anda telah menginstal gcloud CLI, dapatkan versi terbaru dengan menjalankan
gcloud components update.
Persyaratan
- Cluster Autopilot Anda harus menggunakan GKE versi 1.30.2 atau yang lebih baru.
- Node pool Standar Anda harus menggunakan salah satu jenis mesin yang didukung dan image node Container-Optimized OS.
Cluster dan node pool Standar Anda harus menggunakan salah satu versi GKE berikut, bergantung pada teknologi Confidential Computing yang Anda pilih:
- AMD SEV: versi GKE apa pun yang tersedia.
- AMD SEV-SNP: 1.32.2-gke.1297000 atau yang lebih baru.
- Intel TDX: 1.32.2-gke.1297000 atau yang lebih baru.
Menggunakan Confidential GKE Node di Autopilot
Anda dapat mengaktifkan Confidential GKE Node untuk seluruh cluster Autopilot, yang membuat setiap node menjadi node rahasia. Semua workload Anda berjalan di node rahasia tanpa perlu mengubah manifes workload. Mengaktifkan Confidential GKE Node akan mengubah seri mesin default di cluster menjadi N2D.
Mengaktifkan Confidential GKE Node di cluster Autopilot baru
Jalankan perintah berikut:
gcloud container clusters create-auto CLUSTER_NAME \
--location=LOCATION \
--enable-confidential-nodes
Ganti kode berikut:
CLUSTER_NAME: nama cluster Autopilot.LOCATION: lokasi Compute Engine untuk cluster.
Cluster harus menjalankan versi 1.30.2 atau yang lebih baru. Untuk menetapkan versi tertentu saat Anda membuat cluster, lihat Menetapkan versi dan saluran rilis cluster Autopilot baru.
Menggunakan Confidential GKE Node dalam mode Standard
Anda dapat mengaktifkan Confidential GKE Node di level cluster atau di level node pool dalam mode Standar.
Mengaktifkan Confidential GKE Node di cluster Standard
Anda dapat menentukan teknologi Confidential Computing untuk node saat membuat cluster. Menentukan teknologi saat Anda membuat cluster akan memberikan semua efek berikut:
- Anda tidak dapat membuat node pool yang tidak menggunakan Confidential GKE Node di cluster tersebut.
- Anda tidak dapat mengupdate cluster untuk menonaktifkan Confidential GKE Node.
- Anda tidak dapat mengganti teknologi Confidential Computing tingkat cluster di setiap node pool.
Mengonfigurasi setelan Confidential Computing di tingkat cluster bersifat permanen. Oleh karena itu, pertimbangkan kasus penggunaan berikut sebelum Anda membuat cluster:
Untuk menggunakan penyediaan otomatis node di cluster, Anda harus melakukan semua hal berikut:
- Gunakan gcloud CLI untuk membuat cluster dan tentukan flag
--enable-confidential-nodesdalam perintah pembuatan cluster Anda. - Pilih teknologi Confidential Computing yang didukung oleh penyediaan otomatis node.
Untuk mengetahui detailnya, lihat bagian Menggunakan Confidential GKE Node dengan penyediaan otomatis node.
- Gunakan gcloud CLI untuk membuat cluster dan tentukan flag
Untuk menggunakan teknologi Confidential Computing yang berbeda untuk mengenkripsi kumpulan node tertentu dalam cluster, lewati bagian ini dan tentukan teknologi di tingkat kumpulan node.
Untuk membuat cluster mode Standard yang menggunakan Node GKE Rahasia, pilih salah satu opsi berikut:
gcloud
Saat membuat cluster baru, tentukan opsi --confidential-node-type
di gcloud CLI:
gcloud container clusters create CLUSTER_NAME \
--location=LOCATION \
--machine-type=MACHINE_TYPE \
--confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY
Ganti kode berikut:
CLUSTER_NAME: nama cluster Anda.LOCATION: lokasi Compute Engine untuk cluster. Lokasi harus mendukung teknologi Confidential Computing yang Anda tentukan. Untuk mengetahui detailnya, lihat bagian Ketersediaan.MACHINE_TYPE: jenis mesin yang mendukung teknologi Confidential Computing yang Anda tentukan. Untuk mengetahui detailnya, lihat bagian Ketersediaan.CONFIDENTIAL_COMPUTE_TECHNOLOGY: teknologi Confidential Computing yang akan digunakan. Nilai-nilai berikut didukung:sev: AMD SEVsev_snp: AMD SEV-SNPtdx: Intel TDX
Anda juga dapat menggunakan flag --enable-confidential-nodes dalam perintah pembuatan cluster. Jika Anda hanya menentukan tanda ini dalam perintah, cluster akan menggunakan AMD SEV. Jenis mesin yang Anda tentukan dalam perintah harus
mendukung AMD SEV. Namun, jika Anda menentukan flag --confidential-node-type
dalam perintah yang sama, GKE akan menggunakan nilai yang Anda tentukan dalam
flag --confidential-node-type.
Konsol
Di konsol Google Cloud , buka halaman Create a Kubernetes cluster.
Dari panel navigasi, pada Cluster, klik Keamanan.
Centang kotak Aktifkan Confidential GKE Node.
Konfigurasi cluster Anda sesuai kebutuhan.
Klik Buat.
Lihat Membuat cluster regional untuk mengetahui detail selengkapnya tentang cara membuat cluster.
Untuk node pool yang dibuat dengan setelan Mode rahasia untuk Hyperdisk Balanced, hanya node di node pool yang dibatasi pada konfigurasi penyiapan. Untuk setiap node pool baru yang dibuat di cluster, Anda harus menyiapkan mode rahasia saat pembuatan.
Mengaktifkan Confidential GKE Node di node pool
Anda dapat mengaktifkan Confidential GKE Node pada node pool tertentu jika Confidential GKE Node dinonaktifkan di tingkat cluster.
Setelan mode rahasia untuk Hyperdisk Balanced harus ditentukan selama permintaan pembuatan node pool.
Membuat node pool baru
Untuk membuat node pool baru dengan Confidential GKE Node yang diaktifkan, jalankan perintah berikut:
gcloud container node-pools create NODE_POOL_NAME \
--location=LOCATION \
--cluster=CLUSTER_NAME \
--machine-type=MACHINE_TYPE \
--confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY
Ganti kode berikut:
NODE_POOL_NAME: nama node pool baru.LOCATION: lokasi untuk node pool baru. Lokasi harus mendukung teknologi Confidential Computing yang Anda tentukan. Untuk mengetahui detailnya, lihat bagian Ketersediaan.CLUSTER_NAME: nama cluster Anda.MACHINE_TYPE: jenis mesin yang mendukung teknologi Confidential Computing yang Anda tentukan. Untuk mengetahui detailnya, lihat bagian Ketersediaan.CONFIDENTIAL_COMPUTE_TECHNOLOGY: teknologi Confidential Computing yang akan digunakan. Nilai-nilai berikut didukung:sev: AMD SEVsev_snp: AMD SEV-SNPtdx: Intel TDX
Anda juga dapat menggunakan flag --enable-confidential-nodes dalam perintah pembuatan cluster. Jika Anda hanya menentukan tanda ini dalam perintah, cluster akan menggunakan AMD SEV. Jenis mesin yang Anda tentukan dalam perintah harus
mendukung AMD SEV. Namun, jika Anda menentukan flag --confidential-node-type
dalam perintah yang sama, GKE akan menggunakan nilai yang Anda tentukan dalam
flag --confidential-node-type.
Memperbarui node pool yang ada
Perubahan ini memerlukan pembuatan ulang node, yang dapat menyebabkan gangguan pada workload yang sedang berjalan. Untuk mengetahui detail tentang perubahan khusus ini, temukan baris yang sesuai dalam tabel perubahan manual yang membuat ulang node menggunakan strategi upgrade node tanpa mematuhi kebijakan pemeliharaan. Untuk mempelajari lebih lanjut update node, lihat Merencanakan gangguan update node.
Anda dapat mengupdate node pool yang ada untuk menggunakan Confidential GKE Node atau untuk mengganti teknologi Confidential Computing yang digunakan oleh node. Untuk mengupdate node pool yang ada agar menggunakan Confidential GKE Node, jalankan perintah berikut:
gcloud container node-pools update NODE_POOL_NAME \
--cluster=CLUSTER_NAME \
--confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY
Ganti kode berikut:
- NODE_POOL_NAME: nama node pool Anda.
- CLUSTER_NAME: nama cluster Anda.
CONFIDENTIAL_COMPUTE_TECHNOLOGY: teknologi Confidential Computing yang akan digunakan. Nilai-nilai berikut didukung:
sev: AMD SEVsev_snp: AMD SEV-SNPtdx: Intel TDX
Node harus sudah menggunakan jenis mesin yang mendukung teknologi Confidential Computing yang Anda perbarui untuk digunakan oleh node. Jika node Anda menggunakan jenis mesin yang tidak mendukung teknologi yang Anda pilih (misalnya, jika Anda menggunakan jenis mesin yang memiliki CPU AMD dan Anda ingin mengaktifkan Intel TDX), lakukan hal berikut:
- Jika node pool sudah menggunakan Confidential GKE Node, nonaktifkan Confidential GKE Node.
- Ubah jenis mesin node pool.
- Perbarui node pool untuk menggunakan setelan Confidential Computing baru dengan menjalankan perintah sebelumnya.
Menggunakan Confidential GKE Node dengan penyediaan otomatis node
Anda dapat mengonfigurasi penyediaan otomatis node untuk menggunakan Confidential GKE Node di node pool yang disediakan secara otomatis. Penyediaan otomatis Node mendukung teknologi Confidential Computing berikut:
- AMD SEV
- AMD SEV-SNP
Untuk menggunakan Confidential GKE Node dengan penyediaan otomatis node, tentukan flag gcloud CLI --enable-confidential-nodes saat Anda membuat cluster, membuat node pool, atau mengupdate node pool. Pertimbangan tambahan berikut berlaku:
- Buat node pool baru yang disediakan secara otomatis: pastikan teknologi Confidential Computing yang Anda pilih didukung dalam penyediaan otomatis node.
- Memperbarui node pool yang ada: pastikan teknologi Confidential Computing yang Anda pilih didukung dalam penyediaan otomatis node.
- Buat cluster baru: pastikan teknologi Confidential Computing yang Anda pilih didukung dalam penyediaan otomatis node. Pilihan ini tidak dapat diurungkan di tingkat cluster.
- Mengupdate cluster yang ada: cluster harus sudah menggunakan Confidential GKE Nodes. Teknologi Confidential GKE Nodes yang digunakan cluster harus didukung oleh penyediaan otomatis node.
Menempatkan beban kerja hanya di node pool Confidential GKE Node
Jika Anda mengaktifkan Confidential GKE Node di level cluster, semua workload Anda akan berjalan di node rahasia. Anda tidak perlu melakukan perubahan pada manifes. Namun, jika Anda hanya mengaktifkan Confidential GKE Node untuk node pool mode Standard tertentu, Anda harus menyatakan secara deklaratif bahwa beban kerja Anda hanya boleh berjalan di node pool dengan Confidential GKE Node.
Untuk mewajibkan workload berjalan di teknologi Confidential Computing tertentu, gunakan pemilih node dengan label
cloud.google.com/gke-confidential-nodes-instance-type, seperti dalam contoh berikut:apiVersion: v1 kind: Pod spec: # For readability, lines are omitted from this example manifest nodeSelector: cloud.google.com/gke-confidential-nodes-instance-type: "CONFIDENTIAL_COMPUTE_SELECTOR"Ganti
CONFIDENTIAL_COMPUTE_SELECTORdengan nama teknologi yang digunakan node pool. Kolom ini mendukung nilai berikut, yang harus Anda tentukan dalam huruf besar:SEV: AMD SEVSEV_SNP: AMD SEV-SNPTDX: Intel TDX
Agar workload dapat berjalan di node rahasia mana pun, terlepas dari teknologi Confidential Computing, gunakan aturan afinitas node, seperti dalam contoh berikut:
apiVersion: v1 kind: Pod spec: containers: - name: confidential-app image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: cloud.google.com/gke-confidential-nodes-instance-type operator: ExistsAgar workload dapat berjalan di node yang hanya menggunakan subset teknologi Confidential Computing yang tersedia, gunakan aturan afinitas node yang mirip dengan contoh berikut:
apiVersion: v1 kind: Pod spec: containers: - name: confidential-app image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: cloud.google.com/gke-confidential-nodes-instance-type operator: In values: - SEV - SEV_SNP - TDXDi kolom
values, tentukan hanya teknologi Confidential Computing yang ingin Anda gunakan untuk menjalankan workload.
Memastikan Confidential GKE Node diaktifkan
Anda dapat memeriksa apakah cluster atau node Anda menggunakan Confidential GKE Nodes dengan memeriksa cluster atau node.
Di cluster mode Autopilot atau mode Standard
Anda dapat memverifikasi bahwa cluster Autopilot atau Standard Anda menggunakan Confidential GKE Nodes dengan gcloud CLI atau konsol.Google Cloud
gcloud
Jelaskan cluster:
gcloud container clusters describe CLUSTER_NAME
Jika Confidential GKE Nodes diaktifkan, output-nya akan mirip dengan berikut, bergantung pada mode operasi cluster Anda.
Cluster mode standar
confidentialNodes:
confidentialInstanceType: CONFIDENTIAL_COMPUTE_SELECTOR
Cluster mode Autopilot
confidentialNodes:
enabled: true
Konsol
Buka halaman Google Kubernetes Engine di konsol Google Cloud .
Klik nama cluster yang ingin diperiksa.
Di bagian Keamanan, di kolom Confidential GKE Node, pastikan Confidential GKE Node Diaktifkan.
Di node mode Autopilot atau mode Standard
Untuk memverifikasi apakah node Autopilot atau Standard tertentu menggunakan Confidential GKE Node, lakukan hal berikut:
Temukan nama node:
kubectl get nodesJelaskan node:
kubectl describe NODE_NAMEGanti
NODE_NAMEdengan nama node yang akan diperiksa.
Outputnya mirip dengan hal berikut ini:
Name: gke-cluster-1-default-pool-affsf335r-asdf
Roles: <none>
Labels: cloud.google.com/gke-boot-disk=pd-balanced
cloud.google.com/gke-container-runtime=containerd
cloud.google.com/gke-confidential-nodes-instance-type=CONFIDENTIAL_COMPUTE_SELECTOR
cloud.google.com/gke-nodepool=default-pool
cloud.google.com/gke-os-distribution=cos
cloud.google.com/machine-family=e2
# lines omitted for clarity
Dalam output ini, label node cloud.google.com/gke-confidential-nodes-instance-type
menunjukkan bahwa node adalah node rahasia.
Di node pool mode Standard
Untuk memastikan bahwa node pool Anda menggunakan Confidential GKE Node, jalankan perintah berikut:
gcloud container node-pools describe NODE_POOL_NAME \
--cluster=CLUSTER_NAME
Jika Confidential GKE Nodes diaktifkan, output-nya akan mirip dengan berikut ini:
confidentialNodes:
cloud.google.com/gke-confidential-nodes-instance-type=CONFIDENTIAL_COMPUTE_SELECTOR
Jika setelan Mode rahasia untuk Hyperdisk Balanced diaktifkan, outputnya akan mirip dengan berikut:
enableConfidentialStorage: true
Pada node mode Standar individual
Untuk memvalidasi kerahasiaan node tertentu di cluster Standard, lakukan salah satu hal berikut:
- Verifikasi bahwa Confidential Computing diaktifkan
- Memvalidasi Confidential VM menggunakan Cloud Monitoring
Menetapkan batasan kebijakan organisasi
Anda dapat menentukan batasan kebijakan organisasi untuk memastikan bahwa semua resource VM yang dibuat di seluruh organisasi adalah instance Confidential VMs.
Untuk GKE, Anda dapat menyesuaikan batasan Batasi Non-Confidential Computing agar mewajibkan semua cluster baru dibuat dengan mengaktifkan salah satu teknologi Confidential Computing yang tersedia. Tambahkan nama Layanan API container.googleapis.com ke daftar tolak saat menegakkan batasan kebijakan organisasi, seperti dalam contoh berikut:
gcloud resource-manager org-policies deny \
constraints/compute.restrictNonConfidentialComputing compute.googleapis.com container.googleapis.com \
--project=PROJECT_ID
Ganti PROJECT_ID dengan project ID Anda.
Membuat PersistentVolume untuk Mode rahasia untuk Hyperdisk Balanced
Untuk mendapatkan panduan tentang nilai yang diizinkan untuk throughput atau IOPS, lihat Merencanakan tingkat performa untuk volume Hyperdisk.
Contoh berikut menunjukkan cara membuat mode Rahasia untuk StorageClass Hyperdisk Balanced untuk setiap jenis Hyperdisk:
Hyperdisk Balanced
Simpan manifes berikut dalam file bernama
confidential-hdb-example-class.yaml:apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: balanced-storage provisioner: pd.csi.storage.gke.io volumeBindingMode: WaitForFirstConsumer allowVolumeExpansion: true parameters: type: hyperdisk-balanced provisioned-throughput-on-create: "250Mi" provisioned-iops-on-create: "7000" enable-confidential-storage: true disk-encryption-kms-key: "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/HSM_KEY_NAME"Ganti kode berikut:
KMS_PROJECT_ID: project yang memiliki kunci Cloud KMSREGION: region tempat disk beradaKEY_RING: nama key ring yang menyertakan kunciHSM_KEY_NAME: nama kunci HSM yang digunakan untuk mengenkripsi disk
Buat StorageClass:
kubectl create -f hdb-example-class.yamlBuat Klaim Volume Persisten Hyperdisk untuk GKE yang menggunakan volume Hyperdisk Balanced dengan mode Rahasia Anda.
Untuk menemukan nama StorageClass yang tersedia di cluster Anda, jalankan perintah berikut:
kubectl get sc
Batasan
Confidential GKE Nodes memiliki batasan berikut:
- Semua batasan instance Confidential VMs Compute Engine berlaku untuk Confidential GKE Node.
- Semua batasan penggunaan CMEK untuk mengenkripsi disk berlaku untuk Mode rahasia untuk Hyperdisk Balanced.
- Confidential GKE Node yang memiliki jenis mesin C2D hanya dapat menggunakan penyediaan otomatis node di GKE versi 1.24 atau yang lebih baru.
- Confidential GKE Node hanya mendukung PersistentVolumes yang didukung oleh persistent disk jika bidang kontrol Anda menjalankan GKE versi 1.22 atau yang lebih baru. Untuk mendapatkan petunjuk, lihat Menggunakan Driver CSI persistent disk Compute Engine .
- Confidential GKE Node tidak kompatibel dengan sole-tenant node.
- Confidential GKE Node hanya mendukung penggunaan penyimpanan efemeral di SSD lokal, tetapi tidak mendukung penggunaan SSD lokal secara umum.
- Hanya node Container-Optimized OS yang didukung. Node Ubuntu dan Windows tidak didukung.
- Mode rahasia untuk Hyperdisk Balanced hanya didukung di Confidential GKE Node yang menggunakan AMD SEV sebagai teknologi Confidential Computing.
- Cluster Autopilot GKE hanya mendukung AMD SEV. AMD SEV-SNP dan Intel TDX tidak didukung.
- Untuk menggunakan
penyediaan otomatis node
dengan Confidential GKE Node, Anda harus menggunakan
flag
--enable-confidential-nodesdi perintah gcloud CLI cluster atau node pool mode Standar. Penyediaan otomatis node tidak mendukung Intel TDX.
Batasan migrasi langsung
Confidential VM Compute Engine yang menggunakan jenis mesin N2D dan menggunakan AMD SEV sebagai teknologi Confidential Computing mendukung migrasi langsung, yang meminimalkan potensi gangguan workload dari peristiwa pemeliharaan host. Migrasi langsung terjadi di versi GKE berikut:
- 1.27.10-gke.1218000 dan yang lebih baru
- 1.28.6-gke.1393000 dan yang lebih baru
- 1.29.1-gke.1621000 dan yang lebih baru
Jika node pool Anda sudah menjalankan versi yang didukung saat migrasi langsung ditambahkan, upgrade node pool secara manual ke versi yang didukung yang sama atau berbeda. Mengupgrade node akan memicu pembuatan ulang node, dan node baru akan mengaktifkan migrasi langsung.
Untuk mengetahui detail tentang jenis mesin Compute Engine yang mendukung migrasi langsung, lihat Konfigurasi yang didukung.
Jika peristiwa pemeliharaan host
terjadi pada node yang tidak mendukung migrasi langsung, node akan memasuki status
NotReady. Pod yang sedang berjalan akan mengalami gangguan hingga node siap lagi. Jika pemeliharaan berlangsung lebih dari lima menit,
GKE dapat mencoba membuat ulang Pod di node lain.
Menonaktifkan Confidential GKE Node
Anda hanya dapat menonaktifkan Confidential GKE Node di node pool mode Standard. Jika node pool berada di cluster yang menggunakan Confidential GKE Node di tingkat cluster, Anda tidak dapat menonaktifkan fitur di tingkat node pool.
Jalankan perintah berikut untuk menonaktifkan Confidential GKE Node di node pool:
gcloud container node-pools update NODE_POOL_NAME \
--cluster=CLUSTER_NAME \
--no-enable-confidential-nodes
Perubahan ini memerlukan pembuatan ulang node, yang dapat menyebabkan gangguan pada workload yang sedang berjalan. Untuk mengetahui detail tentang perubahan khusus ini, temukan baris yang sesuai dalam tabel perubahan manual yang membuat ulang node menggunakan strategi upgrade node tanpa mematuhi kebijakan pemeliharaan. Untuk mempelajari lebih lanjut update node, lihat Merencanakan gangguan update node.
Langkah berikutnya
- Pelajari Confidential VM lebih lanjut.
- Pelajari lebih lanjut Google Cloud enkripsi dalam penyimpanan
- Pelajari lebih lanjut Google Cloud enkripsi dalam transit
- Pelajari kunci enkripsi yang dikelola pelanggan (CMEK) lebih lanjut.
- Pelajari cara membuktikan dari jarak jauh bahwa workload berjalan di Confidential VM
- Pelajari cara menjalankan GPU di node Confidential GKE Node (Pratinjau)