gsc

Docker 容器廣泛用於在雲端部署應用程式。透過使用 Gramine Shielded Containers (GSC)，我們提供基礎架構來使用 Gramine Library OS 部署受 Intel SGX enclave 保護的 Docker 容器。

GSC 工具將 Docker 映像轉換為新映像，其中包括 Gramine Library OS、清單檔案、Intel SGX 相關信息，並使用 Gramine Library OS 在 Intel SGX enclave 內執行應用程式。它遵循常見的 Docker 方法，首先建立映像，然後在容器內執行該映像。首先，必須透過gsc build指令對 Docker 映像進行粒度化。當粒化影像應在 Intel SGX enclave 內運作時，必須透過gsc sign-image指令對影像進行簽署。隨後，可以使用docker run運行映像。

注意：作為gsc build步驟的一部分，GSC 會產生包含受信任檔案清單（具有完整性保護的檔案）的清單檔案。此清單包含原始 Docker 映像中存在的所有檔案的雜湊值。因此，GSC 的清單建立能力依賴於原始 Docker 映像的包裝：如果原始 Docker 映像臃腫（包含不必要的檔案），那么生成的清單也會臃腫。雖然這不會惡化 Gramine/GSC 的安全保證，但可能會影響啟動效能。請務必小心，僅拉入 Docker 映像真正需要的依賴項。

官方 Gramine Library OS 文件可以在 https://gramine.readthedocs.io 找到。

官方 GSC 文件可以在 https://gramine-gsc.readthedocs.io 找到。

我們歡迎透過 GitHub Pull Request 做出貢獻。請記住，它們受與主項目相同的規則的約束。

如有任何疑問，請發送電子郵件至 [email protected]（公共存檔）。

對於錯誤報告，請在我們的 GitHub 儲存庫上發布問題：https://github.com/gramineproject/gsc/issues。