Hyper Protect Virtual Servers 适用于 VPC

Hyper Protect Virtual Servers for VPC 利用 IBM Secure Execution for Linux 来提供每个实例的边界，并提供以下优势:

• 选择可用性

  Hyper Protect Virtual Server实例的实例配置文件在美国南部（达拉斯）、美国东部（华盛顿特区）、加拿大（多伦多）、巴西（圣保罗）、英国（伦敦）、德国（法兰克福）、西班牙（马德里）和日本（东京）地区提供。

• 用于防止内部和外部威胁的安全执行边界

  Hyper Protect Virtual Servers for VPC 提供未经授权的用户 (包括 IBM Cloud 管理员) 无权访问应用程序的技术保证。 工作负载由单个实例级别的安全边界锁定。

• 多方合同和部署证明

  从工作负载开发到部署，应用零信任原则。 由于多个角色和法律实体相互协作，因此必须将职责和访问权分开。Hyper Protect Virtual Servers for VPC 基于新引入的 加密合同 概念。 它使每个角色都能够提供其贡献，并通过加密确保其他角色都无法访问此数据或知识产权。 审计员角色可通过 验证记录 对部署进行验证，该记录经过签名和加密，以确保只有审计员才能深入了解情况。

• 恶意软件保护

  Hyper Protect Virtual Servers的 VPC 使用“安全构建”设置验证流程，以确保只有授权代码在应用程序中运行。 它仅部署在部署时通过 显式摘要验证或签名的 容器版本，并且只能从 经过身份验证的私有Container Registry 中提取。

• 自带 OCI 映像并使用托管的容器运行时服务

  使用任何 开放式容器计划(OCI) 映像，并获取机密计算解决方案的优势，以实现额外级别的保护。 通过 签署合同 确保仅部署特定的工作量与环境组合。

• 基于虚拟私有云 (VPC) 基础架构构建，实现额外的网络安全性

  从各种概要文件大小中进行选择，并根据需要进行扩展，以每小时保护容器化应用程序和按使用量付费。

  利用现有或通用的 网络安全组 和 日志基础架构。

完成以下步骤以开始使用 Hyper Protect Virtual Servers for VPC。 最重要的是，创建实例需要有效的 合同。

准备工作

在为 VPC 实例创建 Hyper Protect Virtual Servers 之前，请务必阅读以下信息并完成所需的准备工作。

• 计划

  考虑配置文件和操作系统映像等因素。 要为具有库存映像的 VPC 实例创建 Hyper Protect Virtual Servers，请选择 IBM Hyper Protect Container Runtime 映像。

• 选择使用 Hyper Protect Virtual Servers 构建您自己的映像

  除了使用 stock 映像，您还可以选择使用 Hyper Protect Virtual Servers 安全地构建自己的映像，并使用该映像为 VPC 实例供应 Hyper Protect Virtual Servers。 有关更多信息，请参阅 Hyper Protect Secure Build。

• 准备合同

  创建实例时，必须在 用户数据 字段中传递 有效合同。 IBM Hyper Protect Container Runtime 映像由不同的组件或服务组成，这些组件或服务对合同进行解密 (如果已加密)，验证合同模式，检查合同签名，创建口令以加密磁盘设备，并生成合同中指定的容器。

  如果未传递任何合同，那么实例最终会关闭。

• 设置日志记录

  要针对 VPC 实例启动 Hyper Protect Virtual Servers，您需要首先通过 在合同中添加日志记录配置来设置日志记录。 部署后，您可以使用两种类型的日志记录来查看 VPC 实例日志的 Hyper Protect Virtual Servers。

  • 您设置的日志记录服务

    请参阅 针对 VPC 的 Hyper Protect Virtual Servers 日志记录。

    如果未成功配置日志记录，那么实例将自动关闭。

  • 串行控制台

    选择操作系统并继续部署后，您可以查看部署状态，还可以在串行控制台上查看日志以确认实例是否为 VPC 实例的 Hyper Protect Virtual Servers。 您还可以使用此日志中的信息对供应问题进行故障诊断。 有关更多信息，请参阅 使用 VNC 或串行控制台访问虚拟服务器实例。

• 数据量

  目前，该实例只支持一个数据卷，即 默认使用您提供的种子或口令加密，这有助于确保工作负载数据受到保护。 即使您可以添加多个数据卷，也会将其忽略，并且只会对其中一个数据卷进行加密。 建议您在创建实例时为实例附加一个数据卷，以便将容器中的数据存储在数据卷中。 此外，建议您对数据量进行快照，以便在将来遇到任何问题时可以还原。

  从 HPCR 映像版本 ibm-hyper-protect-container-runtime-1-0-s390x-9 开始，对于新的 Hyper Protect Virtual Servers VPC 实例，数据卷分为两个部分。 第一个分区 (100Mib) 保留用于内部元数据; 第二个分区保留作为工作负载的数据卷。 仅会对新卷进行分区，并且不能将分区卷与较旧版本的 HPCR 映像配合使用。 使用现有加密卷进行供应也有效。 不同的是，现有卷不会进行分区，您还可以返回到具有此卷的较旧映像。

  当您为 VPC 实例创建一个带有附加数据卷的 Hyper Protect Virtual Servers 时，分离该数据卷会导致在实例上运行的工作负载失败。 建议您不要拆离数据卷。

• 端口的安全组

  必须通过安全组显式打开与容器或工作负载相关联的端口，才能访问这些端口。 因此，必须根据与容器关联的端口创建安全组，并将其连接到用于 VPC 实例的 Hyper Protect Virtual Servers 的相应 VPC。

为 VPC 实例创建 Hyper Protect Virtual Servers

完成规划并准备好合同后，可以为 VPC 实例创建 Hyper Protect Virtual Servers。

• 使用 UI 创建实例。 在 供应页面上，确保选择 IBM Z LinuxONE for Architecture，并在 保密计算下开启 使用操作系统和受安全执行保护的概要文件运行工作负载 开关。
• 使用 CLI 创建实例

如果实例存在任何问题，请参阅 故障诊断文档 或 获取支持。

您可以使用 Terraform 通过 Hyper Protect Virtual Servers for VPC 自动执行操作。

在 private-only 网络配置中，您可以将 Hyper Protect Virtual Servers 用于 VPC 实例，其中 VPC 没有公共网关，虚拟服务器实例也没有浮动 IP。 您可以连接到其他服务的私有端点，包括 Container Registry 和 IBM Log Analysis。 前提条件是您的虚拟服务器实例必须连接到DNS服务器。 您无需进行任何额外配置。

使用 IBM Cloud VPC 快照来恢复或升级 VPC 实例的 Hyper Protect Virtual Servers。

如果 Hyper Protect Virtual Servers for VPC 由于任何原因而失败，那么可以创建新实例并将已连接的数据卷附加到失败的实例 (在创建新实例的 15 分钟内)。 请确保您使用最初用于创建实例的同一合同。

或者，创建连接到失败实例的数据卷的快照。 然后创建一个新实例。 连接数据卷时，请选择 从快照复原卷，然后选择先前为复原卷而生成的快照。 请确保您使用最初用于创建实例的同一合同。

当您希望在 IBM 使其可用时使用新的 Hyper Protect Container Runtime 映像时，可以遵循提及的使用快照的任一过程。 您必须使用用于创建原始实例的相同合同。