gsc

คอนเทนเนอร์นักเทียบท่าถูกนำมาใช้กันอย่างแพร่หลายในการปรับใช้แอปพลิเคชันในระบบคลาวด์ การใช้ Gramine Shielded Containers (GSC) เราจัดเตรียมโครงสร้างพื้นฐานเพื่อปรับใช้คอนเทนเนอร์ Docker ที่ได้รับการปกป้องโดย Intel SGX enclaves โดยใช้ Gramine Library OS

เครื่องมือ GSC แปลงอิมเมจ Docker ให้เป็นอิมเมจใหม่ซึ่งรวมถึง Gramine Library OS, ไฟล์ Manifest, ข้อมูลที่เกี่ยวข้องกับ Intel SGX และรันแอปพลิเคชันภายใน Intel SGX enclave โดยใช้ Gramine Library OS เป็นไปตามแนวทางทั่วไปของ Docker ในการสร้างอิมเมจก่อน จากนั้นจึงรันอิมเมจนี้ภายในคอนเทนเนอร์ ในตอนแรก อิมเมจ Docker จะต้องได้รับการไวยากรณ์ผ่านคำสั่ง gsc build เมื่อรูปภาพที่ไวยากรณ์ควรทำงานภายในวงล้อม Intel SGX รูปภาพนั้นจะต้องลงนามผ่านคำสั่ง gsc sign-image จากนั้นสามารถรันอิมเมจได้โดยใช้ docker run

หมายเหตุ : ในขั้นตอน gsc build GSC จะสร้างไฟล์ Manifest พร้อมด้วยรายการไฟล์ที่เชื่อถือได้ (ไฟล์ที่มีการป้องกันความสมบูรณ์) รายการนี้มีแฮชของไฟล์ ทั้งหมด ที่มีอยู่ในอิมเมจ Docker ดั้งเดิม ดังนั้น ความสามารถในการสร้างไฟล์ Manifest ของ GSC ขึ้นอยู่กับการแพ็กอิมเมจ Docker ต้นฉบับ: หากอิมเมจ Docker ต้นฉบับนั้นบวม (มีไฟล์ที่ไม่จำเป็น) ไฟล์ Manifest ที่สร้างขึ้นก็จะบวมเช่นกัน แม้ว่าสิ่งนี้จะไม่ทำให้การรับประกันความปลอดภัยของ Gramine/GSC แย่ลง แต่ก็อาจส่งผลต่อประสิทธิภาพการเริ่มต้นระบบได้ โปรดใช้ความระมัดระวังในการดึงเฉพาะการอ้างอิงที่จำเป็นสำหรับอิมเมจ Docker ของคุณเท่านั้น

สามารถดูเอกสารประกอบ OS อย่างเป็นทางการของ Gramine Library ได้ที่ https://gramine.readthedocs.io

สามารถดูเอกสาร GSC อย่างเป็นทางการได้ที่ https://gramine-gsc.readthedocs.io

เรายินดีรับการมีส่วนร่วมผ่านคำขอดึง GitHub โปรดทราบว่าสิ่งเหล่านี้อยู่ภายใต้กฎเดียวกันกับโครงการหลัก

หากมีคำถามใดๆ โปรดส่งอีเมลไปที่ [email protected] (คลังข้อมูลสาธารณะ)

สำหรับรายงานข้อผิดพลาด โปรดโพสต์ปัญหาในพื้นที่เก็บข้อมูล GitHub ของเรา: https://github.com/gramineproject/gsc/issues