-
华为云弹性服务器-QingTian Enclave系统时间校准最佳实践
操作场景 业务稳定运行一段时间后,在QingTian Enclave系统内部出现时间漂移问题,即QingTian Enclave内部时间与Primary VM系统时间不一致。 本文介绍如何通过Vsock通道,将QingTian Enclave的系统时间与Primary VM的系统时间进行同步,实现QingTian Enclave系统时间校准。 背景知识 图1 时间校准方案 本方案实现方式: 定制化修改QingTian Enclave内部的第一个进程init,使之fork出一个time_sync进…
-
华为云弹性服务器-QingTian Enclave日志转发工具
QingTian Enclave日志转发工具(qlog)概述 qlog(QingTian Enclave log)是QingTian Enclave的运维工具。QingTian Enclave是运行在QingTian架构虚拟机中完全隔离的子虚拟机,即使是root用户也不能直接通过ssh登入。因此,为了方便运维人员监控运行在QingTian Enclave中的业务和定位问题,我们推出了qlog工具。qlog可以收集QingTian Enclave虚拟机中指定的日志文件和资源使用情况,并将结果发送到…
-
华为云弹性服务器-QingTian Enclave网络代理工具
QingTian Enclave网络代理工具(qproxy)概述 qproxy(QingTian Enclave proxy)是QingTian Enclave的网络代理工具。借助此工具,您可以无需任何改动,直接将部署在基于QingTian架构虚拟机中的网络业务移植到QingTian Enclave中,实现传统网络业务的无感迁移。 qproxy是一个可执行的二进制文件,需要在父虚拟机和QingTian Enclave中通过不同的命令运行: 在父虚拟机中,通过执行“/path/to/qproxy …
-
如何在AWS控制台中创建每月成本预算?
引言:随着企业上云规模扩大,AWS 账单意外超支成为常见痛点。据统计,超 80% 的企业因未设置成本预警遭遇费用失控。AWS 每日成本预警功能通过实时监控和自动通知,帮助企业及时干预预算异常。本文介绍如何在AWS控制台中创建每月成本预算,包括选择简化模板、输入预算金额及设置预警邮件通知。 在AWS控制台中创建每月成本预算操作步骤如下进入AWS控制台,右上角选择“账单与成本管理”在控制台右侧选择“Budgets status”使用“简化模板”,选择“每月成本预算”,填写预算金额填写接收预警的收件邮…
-
华为云弹性服务器-Linux系统上QingTian Enclave应用的开发
QingTian Enclave SDK QingTian Enclave SDK由一系列开源库组成,以便您开发自己的QingTian Enclave应用程序。其中包括QingTian安全模块(QingTian Security Module,QTSM)提供的qtsm-lib函数库。此外,SDK集成了KMS接口,该接口内置了获取证明文档及调用KMS相关服务的功能。在典型使用案例里,我们描述了在QingTian Enclave调用KMS解密接口的示例。 表1 接口介绍类型 接口 接口描述 libq…
-
华为云弹性服务器-结合KMS服务
KMS服务内置了对QingTian Enclave证明的支持。通过使用QingTian Enclave SDK中包含的KMS API,您可以在QingTian Enclave实例中基于QingTian Enclave证明来执行KMS操作,比如解密、生成随机数和加密等操作。KMS服务提取来自QingTian Enclave的证明文档并根据预设的IAM授权策略对其进行访问权限控制。 比如,如下是一个IAM授权策略的举例。该授权策略允许调用KMS的解密数据或解密数据密钥功能API,但限制条件是要求请求…
-
华为云弹性服务器-文档签名验证
接下来,我们将介绍证明文档的验证过程。当您从QingTianHypervisor请求证明文档时,您将会收到一个包含已签名证明文档的二进制blob。已签名的证明文档是一个由CBOR编码,COSE签名的对象。整个验证过程包括以下几个步骤: 1. 解码CBOR对象并将其映射到COSE_Sign1结构中 2. 从COSE_Sign1结构中提取证明文档 3. 验证证书文档中CA证书链的有效性 4. 验证证明文档的数字签名的有效性 证明文档由华为云QingTianAttestation PKI签署。华为云Q…
-
华为云弹性服务器-证明文档
证明文档用于证明QingTian Enclave实例的可信度量结果。证明文档由QingTianHypervisor生成,文档内容包括PCR列表、QingTianPKI证书链、密码算法声明以及Enclave应用自定义数据。证明文档由华为云QingTian Attestation PKI (Public Key Infrastructure)签署。 QingTianHypervisor生成的证明文档以简明二进制对象表示(CBOR)进行编码,并用CBOR Object Signing and Encr…
-
华为云弹性服务器-PCR简介
QingTian Enclave的度量值是由标准可信度量运算得到的一组哈希值(Hashes)组成,这组哈希值保存在QingTian安全模块(QingTian Security Module, QTSM)的平台配置寄存器(Platform configuration registers,PCR)。 说明: QingTian Enclave度量值最多可支持32个PCR。QingTian系统占用index 0~15的PCR,用户的Enclave应用可使用index 16~31的PCR。 使用debug…
-
华为云弹性服务器-启动QingTian Enclave
资源隔离 启动QingTian Enclave虚拟机之前,您首先要在父虚拟机内隔离资源供QingTian Enclave虚拟机使用。隔离的资源包括cpu个数和内存大小,可以通过在虚拟机内访问修改*/etc/qingtian/enclave/qt-enclave-env.conf*配置文件指定需要隔离的资源: #1G大页 hugepage_size:1024 #内存1G. memory_mib:1024 # cpu个数 cpu_count:2 # cpu列表 # cpu_list:2,3 我们建议…
