gsc

Docker 컨테이너는 클라우드에 애플리케이션을 배포하는 데 널리 사용됩니다. 우리는 Gramine Shielded Containers(GSC)를 사용하여 Gramine Library OS를 사용하는 Intel SGX 엔클레이브로 보호되는 Docker 컨테이너를 배포하기 위한 인프라를 제공합니다.

GSC 도구는 Docker 이미지를 Gramine Library OS, 매니페스트 파일, Intel SGX 관련 정보를 포함하는 새로운 이미지로 변환하고 Gramine Library OS를 사용하여 Intel SGX 엔클레이브 내에서 애플리케이션을 실행합니다. 먼저 이미지를 빌드한 후 컨테이너 내부에서 이 이미지를 실행하는 일반적인 Docker 접근 방식을 따릅니다. 처음에는 Docker 이미지를 gsc build 명령을 통해 문법화해야 합니다. 그램화된 이미지가 Intel SGX 엔클레이브 내에서 실행되어야 하는 경우 이미지는 gsc sign-image 명령을 통해 서명되어야 합니다. 이후 docker run 사용하여 이미지를 실행할 수 있습니다.

참고 : gsc build 단계의 일부로 GSC는 신뢰할 수 있는 파일(무결성 보호가 포함된 파일) 목록이 포함된 매니페스트 파일을 생성합니다. 이 목록에는 원본 Docker 이미지에 있는 모든 파일의 해시가 포함되어 있습니다. 따라서 GSC의 매니페스트 생성 기능은 원본 Docker 이미지의 패키징에 따라 달라집니다. 원본 Docker 이미지가 커지면(불필요한 파일 포함) 생성된 매니페스트도 커지게 됩니다. 이것이 Gramine/GSC의 보안 보장을 악화시키지는 않지만 시작 성능에 영향을 미칠 수 있습니다. Docker 이미지에 꼭 필요한 종속성만 가져올 때 주의하세요.

공식 Gramine Library OS 문서는 https://gramine.readthedocs.io에서 찾을 수 있습니다.

공식 GSC 문서는 https://gramine-gsc.readthedocs.io에서 찾을 수 있습니다.

GitHub 풀 요청을 통한 기여를 환영합니다. 메인 프로젝트와 동일한 규칙이 적용된다는 점을 명심하세요.

문의사항이 있으시면 [email protected](공개자료실)로 이메일을 보내주세요.

버그 보고서를 보려면 GitHub 저장소(https://github.com/gramineproject/gsc/issues)에 문제를 게시하세요.