Crittografia dei dati in uso del carico di lavoro con i nodi GKE riservati

Questa pagina mostra come applicare la crittografia dei dati in uso nei nodi e nei carichi di lavoro utilizzando Confidential GKE Nodes. L'applicazione della crittografia può contribuire ad aumentare la sicurezza dei carichi di lavoro.

Questa pagina è destinata agli esperti di sicurezza che implementano misure di sicurezza su GKE. Per scoprire di più sui ruoli comuni e sulle attività di esempio a cui facciamo riferimento nei contenuti di Google Cloud , consulta Ruoli utente e attività comuni di GKE Enterprise.

Prima di leggere questa pagina, assicurati di conoscere il concetto di dati in uso.

Che cos'è Confidential GKE Nodes?

Puoi criptare i tuoi carichi di lavoro con Confidential GKE Nodes o la modalità riservata per Hyperdisk Balanced.

Confidential GKE Node

Confidential GKE Nodes è basato su Confidential VM di Compute Engine, che utilizza la crittografia della memoria basata su hardware per proteggere i dati in uso. Confidential GKE Nodes supporta le seguenti tecnologie di Confidential Computing:

  • AMD Secure Encrypted Virtualization (SEV)
  • AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)
  • Intel Trust Domain Extensions (TDX)

Per informazioni dettagliate su queste tecnologie e per assistenza nella scelta della soluzione più adatta alle tue esigenze, consulta la panoramica di Confidential VM.

Confidential GKE Nodes non modifica le misure di sicurezza che GKE applica ai piani di controllo del cluster. Per scoprire di più su queste misure, consulta Sicurezza del control plane. Per avere visibilità su chi accede ai control plane nei tuoi Google Cloud progetti, utilizza Access Transparency.

Per abilitare i nodi Confidential GKE Node, puoi:

  • Crea un nuovo cluster
  • Esegui il deployment di un workload con il provisioning automatico dei nodi
  • Crea un node pool
  • Aggiornare un pool di nodi esistente

Non puoi aggiornare un cluster esistente per modificare l'impostazione Confidential GKE Nodes a livello di cluster.

La tabella seguente mostra il comportamento di GKE che si applica quando abiliti Confidential GKE Nodes:

Impostazione di Confidential GKE Nodes Modalità di configurazione Comportamento
A livello di cluster Crea un nuovo cluster in modalità Autopilot o Standard

Tutti i nodi utilizzano Confidential GKE Node. Questa operazione è irreversibile. Non puoi eseguire l'override dell'impostazione per i singoli nodi.

Nei cluster GKE Autopilot, tutti i nodi utilizzano automaticamente la serie di macchine predefinita per la classe di calcolo bilanciata, ovvero N2D.
Livello del node pool
  • Crea un nuovo pool di nodi Standard
  • Aggiorna un pool di nodi Standard esistente
 GKE cripta i contenuti della memoria dei nodi in quel pool di nodil. Ciò è possibile solo se Confidential GKE Nodes è disabilitato a livello di cluster.

Modalità riservata per Hyperdisk bilanciato

Puoi anche attivare la modalità riservata per Hyperdisk bilanciato sull'archiviazione del disco di avvio, che cripta i tuoi dati su enclave aggiuntive supportate dall'hardware.

Puoi attivare la modalità riservata per Hyperdisk bilanciato quando esegui una delle seguenti operazioni:

  • Crea un nuovo cluster
  • Crea un nuovo node pool

Non puoi aggiornare un cluster o un pool di nodi esistente per modificare l'impostazione Modalità confidenziale per Hyperdisk Balanced.

La tabella seguente mostra il comportamento di GKE che si applica quando attivi la modalità confidenziale per l'impostazione Hyperdisk bilanciato a livello di cluster o di node pool:

Modalità riservata per l'impostazione Hyperdisk bilanciato Modalità di configurazione Comportamento
A livello di cluster Crea un nuovo cluster Solo il pool di nodi predefinito nel cluster utilizzerà l'impostazione della modalità riservata per Hyperdisk bilanciato. Non puoi eseguire le seguenti operazioni:
  • Disabilita la modalità riservata per l'impostazione Hyperdisk bilanciato per un pool di nodi esistente nel cluster
  • Attivare la modalità riservata per l'impostazione di Hyperdisk bilanciato sui cluster esistenti
Livello del node pool Crea un nuovo node pool Puoi configurare la modalità confidenziale per l'impostazione Hyperdisk bilanciato per tutti i nuovi pool di nodi al momento della creazione. Non puoi aggiornare i pool di nodi esistenti per utilizzare la modalità riservata per l'impostazione di Hyperdisk bilanciato.

Prezzi

Si applicano i seguenti prezzi:

  • Autopilot:

    1. Ti vengono addebitati costi in base ai prezzi della classe di calcolo bilanciata perché l'attivazione di Confidential GKE Nodes modifica la serie di macchine predefinita nel cluster in N2D. Per i dettagli sui prezzi, consulta Prezzi di Autopilot.
    2. Oltre ai prezzi di GKE Autopilot, devi sostenere costi per Confidential GKE Node. Per i dettagli, consulta la sezione "Prezzi di Confidential GKE Node su GKE Autopilot" in Prezzi di Confidential VM.

  • Standard: non sono previsti costi aggiuntivi per il deployment di Confidential GKE Nodes, oltre al costo di Compute Engine Confidential VM. Tuttavia, i Confidential GKE Node potrebbero generare una quantità leggermente maggiore di dati di log all'avvio rispetto ai nodi standard. Per informazioni sui prezzi dei log, consulta Prezzi di Google Cloud Observability.

Disponibilità

Confidential GKE Nodes presenta i seguenti requisiti di disponibilità:

  • I nodi devono trovarsi in una zona o in una regione che supporta la tecnologia Confidential Computing che selezioni. Per ulteriori informazioni, vedi Visualizzare le zone supportate.
  • I cluster Autopilot devono utilizzare GKE versione 1.30.2 o successive.
  • I tuoi pool di nodi Standard devono utilizzare uno dei tipi di macchine supportati e l'immagine del nodo Container-Optimized OS.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti operazioni:

  • Attiva l'API Google Kubernetes Engine.
    • Attiva l'API Google Kubernetes Engine
  • Se vuoi utilizzare Google Cloud CLI per questa attività, installala e poi inizializzala. Se hai già installato gcloud CLI, scarica l'ultima versione eseguendo gcloud components update.

Requisiti

  • I cluster Autopilot devono utilizzare GKE versione 1.30.2 o successive.
  • I tuoi pool di nodi Standard devono utilizzare uno dei tipi di macchine supportati e l' immagine del nodo Container-Optimized OS.

  • I tuoi cluster Standard e i pool di nodi devono utilizzare una delle seguenti versioni di GKE a seconda della tecnologia Confidential Computing che scegli:

    • AMD SEV: qualsiasi versione di GKE disponibile.
    • AMD SEV-SNP: 1.32.2-gke.1297000 o versioni successive.
    • Intel TDX: 1.32.2-gke.1297000 o versioni successive.

Utilizzare Confidential GKE Node in Autopilot

Puoi abilitare i nodi riservati di GKE per un intero cluster Autopilot, il che rende ogni nodo un nodo riservato. Tutti i tuoi workload vengono eseguiti su nodi confidenziali senza modifiche necessarie ai manifest dei workload. L'abilitazione di Confidential GKE Nodes modifica la serie di macchine predefinita nel cluster in N2D.

Abilita Confidential GKE Nodes su un nuovo cluster Autopilot

Esegui questo comando:

gcloud container clusters create-auto CLUSTER_NAME \
    --location=LOCATION \
    --enable-confidential-nodes

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del cluster Autopilot.
  • LOCATION: la posizione di Compute Engine per il cluster.

Il cluster deve eseguire la versione 1.30.2 o successive. Per impostare una versione specifica quando crei un cluster, consulta Impostare la versione e il canale di rilascio di un nuovo cluster Autopilot.

Utilizzare Confidential GKE Nodes in modalità Standard

Puoi abilitare Confidential GKE Nodes a livello di cluster o di pool di nodi in modalità Standard.

Abilita Confidential GKE Nodes sui cluster Standard

Puoi specificare una tecnologia Confidential Computing per i nodi quando crei un cluster. Specificare la tecnologia quando crei un cluster ha tutti i seguenti effetti:

  • Non puoi creare node pool che non utilizzano Confidential GKE Nodes in questo cluster.
  • Non puoi aggiornare il cluster per disabilitare GKE Confidential Nodes.
  • Non puoi ignorare la tecnologia Confidential Computing a livello di cluster nei singoli pool di nodi.

La configurazione di un'impostazione di Confidential Computing a livello di cluster è permanente. Di conseguenza, considera i seguenti casi d'uso prima di creare il cluster:

  • Per utilizzare il provisioning automatico dei nodi nel cluster, devi eseguire tutte le seguenti operazioni:

    • Utilizza gcloud CLI per creare il cluster e specifica il flag --enable-confidential-nodes nel comando di creazione del cluster.
    • Seleziona una tecnologia Confidential Computing supportata dal provisioning automatico dei nodi.

    Per maggiori dettagli, consulta la sezione Utilizzare Confidential GKE Nodes con il provisioning automatico dei nodi.

  • Per utilizzare tecnologie Confidential Computing diverse per criptare node pool specifici nel cluster, salta questa sezione e specifica la tecnologia a livello di node pool.

Per creare un cluster in modalità Standard che utilizza i nodi GKE confidenziali, seleziona una delle seguenti opzioni:

gcloud

Quando crei un nuovo cluster, specifica l'opzione --confidential-node-type in gcloud CLI:

gcloud container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --machine-type=MACHINE_TYPE \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del tuo cluster.
  • LOCATION: la posizione di Compute Engine per il cluster. La località deve supportare la tecnologia Confidential Computing che specifichi. Per maggiori dettagli, consulta la sezione Disponibilità.
  • MACHINE_TYPE: un tipo di macchina che supporta la tecnologia Confidential Computing che specifichi. Per maggiori dettagli, consulta la sezione Disponibilità.

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY: la tecnologia Confidential Computing da utilizzare. Sono supportati i seguenti valori:

    • sev: AMD SEV
    • sev_snp: AMD SEV-SNP
    • tdx: Intel TDX

Puoi anche utilizzare il flag --enable-confidential-nodes nel comando di creazione del cluster. Se specifichi solo questo flag nel comando, il cluster utilizza AMD SEV. Il tipo di macchina specificato nel comando deve supportare AMD SEV. Tuttavia, se specifichi il flag --confidential-node-type nello stesso comando, GKE utilizza il valore specificato nel flag --confidential-node-type.

Console

  1. Nella console Google Cloud , vai alla pagina Crea un cluster Kubernetes.

    Vai a Crea un cluster Kubernetes

  2. Nel riquadro di navigazione, in Cluster, fai clic su Sicurezza.

  3. Seleziona la casella di controllo Abilita Confidential GKE Nodes.

  4. Configura il cluster in base alle esigenze.

  5. Fai clic su Crea.

Per maggiori dettagli sulla creazione di cluster, vedi Creazione di un cluster a livello di area geografica.

Per qualsiasi pool di nodi creato con l'impostazione Modalità riservata per Hyperdisk bilanciato, solo i nodi nel pool di nodi sono limitati alla configurazione di configurazione. Per tutti i nuovi node pool creati nel cluster, devi configurare la modalità confidenziale al momento della creazione.

Abilita Confidential GKE Nodes sui node pool

Puoi abilitare Confidential GKE Nodes su node pool specifici se Confidential GKE Nodes è disabilitato a livello di cluster.

La modalità riservata per l'impostazione bilanciata di Hyperdisk deve essere specificata durante la richiesta di creazione del pool di nodi.

Crea un nuovo node pool

Per creare un nuovo pool di nodi con Confidential GKE Nodes abilitato, esegui il seguente comando:

gcloud container node-pools create NODE_POOL_NAME \
    --location=LOCATION \
    --cluster=CLUSTER_NAME \
    --machine-type=MACHINE_TYPE \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

Sostituisci quanto segue:

  • NODE_POOL_NAME: il nome del nuovo pool di nodi.
  • LOCATION: la località del nuovo pool di nodi. La località deve supportare la tecnologia Confidential Computing che specifichi. Per maggiori dettagli, consulta la sezione Disponibilità.
  • CLUSTER_NAME: il nome del tuo cluster.
  • MACHINE_TYPE: un tipo di macchina che supporta la tecnologia Confidential Computing che specifichi. Per maggiori dettagli, consulta la sezione Disponibilità.

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY: la tecnologia Confidential Computing da utilizzare. Sono supportati i seguenti valori:

    • sev: AMD SEV
    • sev_snp: AMD SEV-SNP
    • tdx: Intel TDX

Puoi anche utilizzare il flag --enable-confidential-nodes nel comando di creazione del cluster. Se specifichi solo questo flag nel comando, il cluster utilizza AMD SEV. Il tipo di macchina specificato nel comando deve supportare AMD SEV. Tuttavia, se specifichi il flag --confidential-node-type nello stesso comando, GKE utilizza il valore specificato nel flag --confidential-node-type.

Aggiornare un pool di nodi esistente

Questa modifica richiede la ricreazione dei nodi, il che può causare interruzioni ai carichi di lavoro in esecuzione. Per informazioni dettagliate su questa modifica specifica, trova la riga corrispondente nella tabella Modifiche manuali che ricreano i nodi utilizzando una strategia di upgrade dei nodi senza rispettare le norme di manutenzione. Per saperne di più sugli aggiornamenti dei nodi, consulta Pianificare le interruzioni dell'aggiornamento dei nodi.

Puoi aggiornare i pool di nodi esistenti per utilizzare Confidential GKE Nodes o per cambiare la tecnologia Confidential Computing utilizzata dai nodi. Per aggiornare un pool di nodi esistente in modo che utilizzi Confidential GKE Nodes, esegui questo comando:

gcloud container node-pools update NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --confidential-node-type=CONFIDENTIAL_COMPUTE_TECHNOLOGY

Sostituisci quanto segue:

  • NODE_POOL_NAME: il nome del tuo pool di nodi.
  • CLUSTER_NAME: il nome del tuo cluster.

  • CONFIDENTIAL_COMPUTE_TECHNOLOGY: la tecnologia Confidential Computing da utilizzare. Sono supportati i seguenti valori:

    • sev: AMD SEV
    • sev_snp: AMD SEV-SNP
    • tdx: Intel TDX

I nodi devono già utilizzare un tipo di macchina che supporti la tecnologia di Confidential Computing che stai aggiornando. Se i tuoi nodi utilizzano un tipo di macchina che non supporta la tecnologia scelta (ad esempio, se utilizzi un tipo di macchina con CPU AMD e vuoi attivare Intel TDX), procedi nel seguente modo:

  1. Se il pool di nodi utilizza già Confidential GKE Nodes, disabilita Confidential GKE Nodes.
  2. Modifica il tipo di macchina del node pool.
  3. Aggiorna il pool di nodi in modo che utilizzi la nuova impostazione di Confidential Computing eseguendo il comando precedente.

Utilizzare Confidential GKE Nodes con il provisioning automatico dei nodi

Puoi configurare il provisioning automatico dei nodi per utilizzare Confidential GKE Nodes nei node pool di cui è stato eseguito il provisioning automatico. Il provisioning automatico dei nodi supporta le seguenti tecnologie Confidential Computing:

  • AMD SEV
  • AMD SEV-SNP

Per utilizzare i nodi GKE confidenziali con il provisioning automatico dei nodi, specifica il flag --enable-confidential-nodes della gcloud CLI quando crei un cluster, un pool di nodi o aggiorni un pool di nodi. Si applicano le seguenti considerazioni aggiuntive:

  • Crea un nuovo pool di nodi con provisioning automatico: assicurati che la tecnologia di Confidential Computing che scegli sia supportata nel provisioning automatico dei nodi.
  • Aggiorna un pool di nodi esistente: assicurati che la tecnologia Confidential Computing che scegli sia supportata nel provisioning automatico dei nodi.
  • Crea un nuovo cluster: assicurati che la tecnologia Confidential Computing che scegli sia supportata nel provisioning automatico dei nodi. Questa scelta è irreversibile a livello di cluster.
  • Aggiorna un cluster esistente: il cluster deve già utilizzare i nodi GKE confidenziali. La tecnologia Confidential GKE Nodes utilizzata dal cluster deve essere supportata dal provisioning automatico dei nodi.

Posiziona i carichi di lavoro solo nei node pool Confidential GKE Nodes

Se abiliti Confidential GKE Nodes a livello di cluster, tutti i tuoi workload vengono eseguiti su nodi confidenziali. Non è necessario apportare modifiche ai manifest. Tuttavia, se abiliti Confidential GKE Nodes solo per node pool in modalità Standard specifici, devi esprimere in modo dichiarativo che i tuoi carichi di lavoro devono essere eseguiti solo su node pool con Confidential GKE Nodes.

  • Per richiedere che un carico di lavoro venga eseguito su una tecnologia Confidential Computing specifica, utilizza un selettore di nodi con l'etichetta cloud.google.com/gke-confidential-nodes-instance-type, come nell'esempio seguente:

    apiVersion: v1
kind: Pod
spec:
# For readability, lines are omitted from this example manifest
  nodeSelector:
    cloud.google.com/gke-confidential-nodes-instance-type: "CONFIDENTIAL_COMPUTE_SELECTOR"

    Sostituisci CONFIDENTIAL_COMPUTE_SELECTOR con il nome della tecnologia utilizzata dal pool di nodi. Questo campo supporta i seguenti valori, che devi specificare in maiuscolo:

    • SEV: AMD SEV
    • SEV_SNP: AMD SEV-SNP
    • TDX: Intel TDX

  • Per consentire a un workload di essere eseguito su qualsiasi nodo confidenziale, indipendentemente dalla tecnologia Confidential Computing, utilizza una regola di affinità dei nodi, come nel seguente esempio:

    apiVersion: v1
kind: Pod
spec:
  containers:
  - name: confidential-app
    image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: cloud.google.com/gke-confidential-nodes-instance-type
            operator: Exists

  • Per consentire a un workload di essere eseguito su nodi che utilizzano solo un sottoinsieme delle tecnologie di Confidential Computing disponibili, utilizza una regola di affinità dei nodi simile a questo esempio:

    apiVersion: v1
kind: Pod
spec:
  containers:
  - name: confidential-app
    image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
  affinity:
    nodeAffinity:
      requiredDuringSchedulingIgnoredDuringExecution:
        nodeSelectorTerms:
        - matchExpressions:
          - key: cloud.google.com/gke-confidential-nodes-instance-type
            operator: In
            values:
            - SEV
            - SEV_SNP
            - TDX

    Nel campo values, specifica solo le tecnologie di Confidential Computing su cui vuoi eseguire il carico di lavoro.

Verifica che i nodi Confidential GKE Node siano abilitati

Per verificare se i tuoi cluster o nodi utilizzano i nodi GKE confidenziali, ispeziona i cluster o i nodi.

Sui cluster in modalità Autopilot o Standard

Puoi verificare che il tuo cluster Autopilot o Standard utilizzi i nodi GKE confidenziali con gcloud CLI o la consoleGoogle Cloud .

gcloud

Descrivi il cluster:

gcloud container clusters describe CLUSTER_NAME

Se Confidential GKE Nodes è abilitato, l'output è simile al seguente, a seconda della modalità di funzionamento del cluster.

Cluster in modalità Standard

confidentialNodes:
  confidentialInstanceType: CONFIDENTIAL_COMPUTE_SELECTOR

Cluster in modalità Autopilot

confidentialNodes:
  enabled: true

Console

  1. Vai alla pagina Google Kubernetes Engine nella console Google Cloud .

    Vai a Google Kubernetes Engine

  2. Fai clic sul nome del cluster che vuoi esaminare.

  3. In Sicurezza, nel campo GKE Confidential Nodes, verifica che GKE Confidential Nodes sia abilitato.

Sui nodi in modalità Autopilot o Standard

Per verificare se nodi Autopilot o Standard specifici utilizzano Confidential GKE Nodes, procedi nel seguente modo:

  1. Trova il nome del nodo:

    kubectl get nodes

  2. Descrivi il nodo:

    kubectl describe NODE_NAME

    Sostituisci NODE_NAME con il nome di un nodo da ispezionare.

L'output è simile al seguente:

Name:               gke-cluster-1-default-pool-affsf335r-asdf
Roles:              <none>
Labels:             cloud.google.com/gke-boot-disk=pd-balanced
                    cloud.google.com/gke-container-runtime=containerd
                    cloud.google.com/gke-confidential-nodes-instance-type=CONFIDENTIAL_COMPUTE_SELECTOR
                    cloud.google.com/gke-nodepool=default-pool
                    cloud.google.com/gke-os-distribution=cos
                    cloud.google.com/machine-family=e2
# lines omitted for clarity

In questo output, l'etichetta del nodo cloud.google.com/gke-confidential-nodes-instance-type indica che il nodo è un nodo confidenziale.

Sui pool di nodi in modalità Standard

Per verificare che il pool di nodi utilizzi Confidential GKE Nodes, esegui il seguente comando:

gcloud container node-pools describe NODE_POOL_NAME \
    --cluster=CLUSTER_NAME

Se Confidential GKE Nodes è abilitato, l'output è simile al seguente:

confidentialNodes:
  cloud.google.com/gke-confidential-nodes-instance-type=CONFIDENTIAL_COMPUTE_SELECTOR

Se l'impostazione della modalità riservata per Hyperdisk bilanciato è abilitata, l'output è simile al seguente:

enableConfidentialStorage: true

Sui singoli nodi in modalità standard

Per convalidare la riservatezza di nodi specifici nei cluster Standard, esegui una delle seguenti operazioni:

Impostare i vincoli dei criteri dell'organizzazione

Puoi definire un vincolo dei criteri dell'organizzazione per assicurarti che tutte le risorse VM create nella tua organizzazione siano istanze Confidential VM. Per GKE, puoi personalizzare il vincolo Limitare il Confidential Computing per richiedere che tutti i nuovi cluster vengano creati con una delle tecnologie di Confidential Computing disponibili abilitate. Aggiungi il nome del servizio API container.googleapis.com all'elenco dei servizi non consentiti quando applichi i vincoli dei criteri dell'organizzazione, come nell'esempio seguente:

gcloud resource-manager org-policies deny \
    constraints/compute.restrictNonConfidentialComputing compute.googleapis.com container.googleapis.com \
    --project=PROJECT_ID

Sostituisci PROJECT_ID con l'ID progetto.

Crea un PersistentVolume per la modalità riservata per Hyperdisk bilanciato

Per indicazioni sui valori consentiti per il throughput o le IOPS, consulta Pianificare il livello di prestazioni per il volume Hyperdisk.

Gli esempi seguenti mostrano come creare una StorageClass in modalità riservata per Hyperdisk bilanciato per ogni tipo di Hyperdisk:

Hyperdisk bilanciato

  1. Salva il seguente manifest in un file denominato confidential-hdb-example-class.yaml:

    apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: balanced-storage
provisioner: pd.csi.storage.gke.io
volumeBindingMode: WaitForFirstConsumer
allowVolumeExpansion: true
parameters:
  type: hyperdisk-balanced
  provisioned-throughput-on-create: "250Mi"
  provisioned-iops-on-create: "7000"
  enable-confidential-storage: true
  disk-encryption-kms-key: "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/HSM_KEY_NAME"

    Sostituisci quanto segue:

    • KMS_PROJECT_ID: il progetto proprietario della chiave Cloud KMS
    • REGION: la regione in cui si trova il disco
    • KEY_RING: il nome delle chiavi automatizzate che includono la chiave
    • HSM_KEY_NAME: il nome della chiave HSM utilizzata per criptare il disco

  2. Crea StorageClass:

    kubectl create -f hdb-example-class.yaml

  3. Crea una richiesta di volume permanente Hyperdisk per GKE che utilizzi la modalità confidenziale per il volume Hyperdisk bilanciato.

Per trovare il nome delle StorageClass disponibili nel cluster, esegui questo comando:

kubectl get sc

Limitazioni

Confidential GKE Nodes presenta le seguenti limitazioni:

Limitazioni della migrazione live

Le VM confidenziali di Compute Engine che utilizzano il tipo di macchina N2D e AMD SEV come tecnologia di Confidential Computing supportano la migrazione live, che riduce al minimo la potenziale interruzione del workload dovuta a un evento di manutenzione dell'host. La migrazione live si verifica nelle seguenti versioni di GKE:

  • 1.27.10-gke.1218000 e versioni successive
  • 1.28.6-gke.1393000 e versioni successive
  • 1.29.1-gke.1621000 e versioni successive

Se i tuoi node pool eseguivano già una versione supportata quando è stata aggiunta la migrazione live, esegui l'upgrade manuale dei node pool alla stessa versione supportata o a una diversa. L'upgrade dei nodi attiva la ricreazione dei nodi e i nuovi nodi hanno la migrazione live abilitata.

Per informazioni dettagliate sui tipi di macchine Compute Engine che supportano la migrazione live, consulta Configurazioni supportate.

Se si verifica un evento di manutenzione dell'host su un nodo che non supporta la migrazione live, il nodo entra in stato NotReady. I pod in esecuzione subiranno interruzioni finché il nodo non sarà di nuovo pronto. Se la manutenzione richiede più di cinque minuti, GKE potrebbe tentare di ricreare i pod su altri nodi.

Disabilita Confidential GKE Nodes

Puoi disabilitare Confidential GKE Nodes solo nei node pool in modalità Standard. Se il pool di nodi si trova in un cluster che utilizza Confidential GKE Nodes a livello di cluster, non puoi disattivare la funzionalità a livello dipool di nodil.

Esegui questo comando per disabilitare GKE Confidential Nodes su un pool di nodi:

gcloud container node-pools update NODE_POOL_NAME \
    --cluster=CLUSTER_NAME \
    --no-enable-confidential-nodes

Questa modifica richiede la ricreazione dei nodi, il che può causare interruzioni ai carichi di lavoro in esecuzione. Per informazioni dettagliate su questa modifica specifica, trova la riga corrispondente nella tabella Modifiche manuali che ricreano i nodi utilizzando una strategia di upgrade dei nodi senza rispettare le norme di manutenzione. Per saperne di più sugli aggiornamenti dei nodi, consulta Pianificare le interruzioni dell'aggiornamento dei nodi.

Passaggi successivi