gsc

Kontainer Docker banyak digunakan untuk menyebarkan aplikasi di cloud. Dengan menggunakan Gramine Shielded Containers (GSC), kami menyediakan infrastruktur untuk menyebarkan kontainer Docker yang dilindungi oleh enclave Intel SGX menggunakan Gramine Library OS.

Alat GSC mengubah image Docker menjadi image baru yang mencakup Gramine Library OS, file manifes, informasi terkait Intel SGX, dan menjalankan aplikasi di dalam enclave Intel SGX menggunakan Gramine Library OS. Ini mengikuti pendekatan umum Docker untuk pertama-tama membuat image dan kemudian menjalankan image ini di dalam container. Pada awalnya image Docker harus digraminisasi melalui perintah gsc build . Ketika gambar yang digraminkan harus dijalankan dalam enklave Intel SGX, gambar tersebut harus ditandatangani melalui perintah gsc sign-image . Selanjutnya gambar dapat dijalankan menggunakan docker run .

CATATAN : Sebagai bagian dari langkah gsc build , GSC membuat file manifes dengan daftar file tepercaya (file dengan perlindungan integritas). Daftar ini berisi hash dari semua file yang ada di image Docker asli. Oleh karena itu, kemampuan pembuatan manifes GSC bergantung pada pengemasan image Docker asli: jika image Docker asli membengkak (berisi file yang tidak diperlukan), maka manifes yang dihasilkan juga akan membengkak. Meskipun hal ini tidak memperburuk jaminan keamanan Gramine/GSC, hal ini dapat mempengaruhi kinerja startup. Harap berhati-hati dalam menarik hanya dependensi yang benar-benar diperlukan untuk image Docker Anda.

Dokumentasi resmi Gramine Library OS dapat ditemukan di https://gramine.readthedocs.io.

Dokumentasi resmi GSC dapat ditemukan di https://gramine-gsc.readthedocs.io.

Kami menerima kontribusi melalui permintaan penarikan GitHub. Harap diingat bahwa mereka diatur oleh aturan yang sama seperti proyek utama.

Untuk pertanyaan apa pun, silakan kirim email ke [email protected] (arsip publik).

Untuk laporan bug, posting masalah di repositori GitHub kami: https://github.com/gramineproject/gsc/issues.