-
华为云弹性服务器-开发部署类高频问题有哪些?
一个ECS实例可以部署多少个QingTian Enclave? QingTian Enclave支持为每个ECS实例创建最多2个Enclave虚拟机。 什么是Vsock?我该如何使用Vsock与QingTian Enclave进行通信? Vsock是一种套接字接口,由上下文 ID (CID) 和端口号定义,上下文ID与TCP/IP连接中的IP地址相同。 Vsock使用标准、定义明确的POSIX套接字API(例如连接、侦听、接受)与QingTian Enclave进行通信。您可以开发基于vsock…
-
华为云弹性服务器-通用类问题
什么是QingTian Enclave? QingTian Enclave是基于QingTian架构虚拟机产品所提供的一个安全特性。借助QingTian Enclave提供的隔离、高度受限的环境,客户可以部署其安全敏感型应用程序,缩小其攻击面。 为什么需要使用QingTian Enclave? QingTian Enclave在普通的ECS实例中提供了隔离的计算环境,以处理高度敏感的数据。 QingTian Enclave是完全独立的虚拟机,无持久化存储、交互式访问或外部网络连接,您的ECS实例…
-
华为云弹性服务器-qt enclave子命令介绍
qt为一级命令,其下目前包含enclave一个二级子命令: [root@localhost ~]# qt ____ _ _______ _ / __ \(_) |__ __(_) | | | |_ _ __ __ _| | _ __ _ _ __ | | | | | ‘_ \ / _` | | | |/ _` | ‘_ \ | |__| | | | | | (_| | | | | (_| | | | | \___\_\_|_| |_|\__, |_| |_|\__,_|_| |_| __/ | …
-
华为云弹性服务器-qt-enclave-env工具介绍
qt-enclave-env是一个service,service启动后从qt-enclave-env.conf配置文件中读取需要隔离的资源信息,并执行资源隔离操作。隔离操作需要在创建QingTian Enclave虚拟机之前执行。 接下来我们将介绍该服务的配置文件/etc/qingtian/enclave/qt-enclave-env.conf: #enclave虚拟机隔离大页内存类型,可配置2或1024,分别表示2M大页或1G大页 hugepage_size:1024 # 配置需要隔离的内存大…
-
华为云弹性服务器-安装qt CLI
如果您使用其他Linux镜像,请通过华为云QingTian开源仓库进行编译安装。如果您使用Huawei Cloud EulerOS系统镜像时,通过以下命令直接安装: yum install qingtian-tool 该rpm包中包含两个工具: qt-enclave-env:提供资源隔离功能,QingTian Enclave虚拟机创建之前需要隔离指定内存供enclave虚拟机使用,以保证QingTian Enclave虚拟机空间的绝对安全。 qt CLI:是一个QingTian命令行工具。您可以…
-
华为云弹性服务器-QingTian Enclave系统时间校准最佳实践
操作场景 业务稳定运行一段时间后,在QingTian Enclave系统内部出现时间漂移问题,即QingTian Enclave内部时间与Primary VM系统时间不一致。 本文介绍如何通过Vsock通道,将QingTian Enclave的系统时间与Primary VM的系统时间进行同步,实现QingTian Enclave系统时间校准。 背景知识 图1 时间校准方案 本方案实现方式: 定制化修改QingTian Enclave内部的第一个进程init,使之fork出一个time_sync进…
-
华为云弹性服务器-QingTian Enclave日志转发工具
QingTian Enclave日志转发工具(qlog)概述 qlog(QingTian Enclave log)是QingTian Enclave的运维工具。QingTian Enclave是运行在QingTian架构虚拟机中完全隔离的子虚拟机,即使是root用户也不能直接通过ssh登入。因此,为了方便运维人员监控运行在QingTian Enclave中的业务和定位问题,我们推出了qlog工具。qlog可以收集QingTian Enclave虚拟机中指定的日志文件和资源使用情况,并将结果发送到…
-
华为云弹性服务器-QingTian Enclave网络代理工具
QingTian Enclave网络代理工具(qproxy)概述 qproxy(QingTian Enclave proxy)是QingTian Enclave的网络代理工具。借助此工具,您可以无需任何改动,直接将部署在基于QingTian架构虚拟机中的网络业务移植到QingTian Enclave中,实现传统网络业务的无感迁移。 qproxy是一个可执行的二进制文件,需要在父虚拟机和QingTian Enclave中通过不同的命令运行: 在父虚拟机中,通过执行“/path/to/qproxy …
-
华为云弹性服务器-Linux系统上QingTian Enclave应用的开发
QingTian Enclave SDK QingTian Enclave SDK由一系列开源库组成,以便您开发自己的QingTian Enclave应用程序。其中包括QingTian安全模块(QingTian Security Module,QTSM)提供的qtsm-lib函数库。此外,SDK集成了KMS接口,该接口内置了获取证明文档及调用KMS相关服务的功能。在典型使用案例里,我们描述了在QingTian Enclave调用KMS解密接口的示例。 表1 接口介绍类型 接口 接口描述 libq…
-
华为云弹性服务器-结合KMS服务
KMS服务内置了对QingTian Enclave证明的支持。通过使用QingTian Enclave SDK中包含的KMS API,您可以在QingTian Enclave实例中基于QingTian Enclave证明来执行KMS操作,比如解密、生成随机数和加密等操作。KMS服务提取来自QingTian Enclave的证明文档并根据预设的IAM授权策略对其进行访问权限控制。 比如,如下是一个IAM授权策略的举例。该授权策略允许调用KMS的解密数据或解密数据密钥功能API,但限制条件是要求请求…
