Sanal Makine Güvenlik Yapılandırması
CycleCloud 8.5, Güvenilir Başlatma veya Gizli güvenlik türüne sahip VM'ler oluşturmayı destekler.
Not
Bu özelliklerin kullanımı yedeklemeyi, yönetilen diskleri ve kısa ömürlü işletim sistemi disklerini desteklememeyi de içeren bazı sınırlamalarla birlikte gelebilir. Buna ek olarak, belirli görüntüler ve VM boyutları gerektirir. Daha fazla bilgi için yukarıdaki belgelere bakın.
Bu özellikler küme formunda değiştirilebilir veya doğrudan küme şablonunda ayarlanabilir.
Bunu SecurityType
etkinleştiren birincil öznitelik veya ConfidentialVM
olabilirTrustedLaunch
.
Örneğin, kümedeki her VM'nin varsayılan olarak Güvenilen Başlatma kullanmasını sağlamak için bunu şablonunuza ekleyin:
[[node defaults]]
# Start VMs with TrustedLaunch
SecurityType = TrustedLaunch
Standart güvenlik varsayılandır, bu nedenle belirtilmesi gerekmez. Kümeniz için SecurityType
bir değer verdiyseniz ve kümenizi içeri aktardıysanız, bu satırı açıklama satırı yapabilir veya kaldırabilir ve değeri kaldırmak için kümeyi yeniden içeri aktarabilirsiniz.
üzerinde defaults
bir değer ayarladıysanız ve yalnızca belirli bir düğüm için Standart güvenlik kullanmak istiyorsanız, değerini ile undefined()
geçersiz kılabilirsiniz (değerinin katı ayrıştırılmasını etkinleştirmek için değerinin kullanımına :=
dikkat edin):
[[node standard-node]]
# Clear an inherited value
SecurityType := undefined()
Güvenilen Başlatma veya Gizli VM'lerin kullanılması, her ikisi de varsayılan olarak true olan diğer güvenlik özelliklerini etkinleştirir:
EnableSecureBoot=true
: VM'lerinizi önyükleme setlerine, rootkit'lere ve çekirdek düzeyinde kötü amaçlı yazılımlara karşı korumaya yardımcı olan Güvenli Önyükleme'yi kullanır.EnableVTPM=true
: TPM2.0 uyumlu olan ve anahtarları ve gizli dizileri güvenli bir şekilde depolamak dışında VM önyükleme bütünlüğünüzü doğrulayan Sanal Güvenilen Platform Modülü'nü (vTPM) kullanır.
Not
Bu özniteliklerin varsayılan Standart güvenlik türüyle hiçbir etkisi yoktur.
Ayrıca, Gizli VM'ler yeni bir disk şifreleme şemasını etkinleştirir.
Bu düzen, diskin tüm kritik bölümlerini korur ve korumalı disk içeriğini yalnızca VM için erişilebilir hale getirir. Server-Side Şifrelemesi'ne benzer şekilde, varsayılan değer Platform Tarafından Yönetilen Anahtarlar'dır , ancak bunun yerine Müşteri Tarafından Yönetilen Anahtarlar'ı kullanabilirsiniz.
Gizli şifreleme için Customer-Managed Anahtarlarının kullanılması için şifreleme türü olan ConfidentialVmEncryptedWithCustomerKey
bir Disk Şifreleme Kümesi gerekir. Daha fazla bilgi için bkz. Disk Şifrelemesi .