操作场景
本文介绍如何在 TKE 上运行机密镜像。
前提条件
已开通 密钥管理服务 KMS 和 容器服务 TKE。
已同意为机密计算平台创建服务相关角色,并 授权调用 其他云服务接口。
步骤1. 封装机密镜像
在信任的环境中封装机密镜像,并 Push 到镜像仓库,详细操作方法见命令行指南的 封装机密镜像,在本例中使用 DockerHub 镜像仓库存储名称为 {sec_image} 的机密镜像,相关命令如下:
$ docker login -u {USERNAME}Password: [PASSWORD]Login Succeeded$ docker push {sec_image}
步骤2:购买 TKE 集群
1. 登录 容器服务控制台,在左侧导航栏选择集群。
2. 在集群页面,单击新建。
3. 在创建集群页面,配置相关参数,创建集群。更多详情请参见 创建集群。
注意:
目前所有机密计算节点机型必须均为 M6ce 型号。
购买用于运行机密应用的 CVM 实例,类型需要选择 M6ce ,支持的操作系统包括 Ubuntu、CentOS和 TencentOS。
步骤3:配置 TKE 环境
步骤4:创建工作负载
创建工作负载,配置容器信息。
1. 登录 容器服务控制台,在左侧导航栏选择集群。
2. 在集群页面,选择工作负载 > Deployment,单击新建。
3. 在实例内容器中输入容器名称,镜像选择 步骤1中 Push 的机密镜像。
4. 在本示例中,我们通过配置特权容器来简化操作,提供不限空间的机密内存。在实例内容器面板下方,单击显示高级设置,在最下方特权级容器选项中单击
,并单击创建 Workload 完成容器创建。
步骤5:查看远程证明和应用运行状态