操作场景
本文档主要针对 ccp 客户端命令行工具(ccp-cli)进行相关参数说明。
主命令参数说明
参数名称 | 描述 |
genrsa | 生成用于机密应用或机密镜像签名的私钥 |
help | 查看 ccp-cli 帮助 |
info | 查看机密计算环境相关信息(sgx/manifest) |
pack | 构建机密应用或机密镜像 |
run | 运行机密应用或机密镜像 |
tmpl | 管理机密计算模板 |
version | 查看当前命令行工具版本 |
子命令参数说明
genrsa
您可以使用此命令生成用户唯一私钥,对机密应用或机密镜像进行签名。
ccp-cli genrsa参数: 无
pack
您可以使用此命令构建您的机密应用或机密镜像。
ccp-cli pack | 参数 |
capp-id | 指定 Web 端新建应用时返回的应用 ID |
secret-id | 指定用户访问云 API 的凭据 ID |
secret-key | 指定用户访问云 API 的凭据 |
role | 指定用户访问云 API 的角色列表 |
pri | 指定用户私钥 |
app-type | 指定用户应用类型。app:机密应用;image:机密镜像。默认 app |
tmpl | 指定 manifest 模板,支持多个模板列表,模板之间使用逗号分割,默认使用 default |
app-image | 指定机密镜像转换时用户的应用镜像 |
app-entry | 指定用户应用入口 |
app-cmd | 指定机密镜像转换时用户的应用参数 |
heartbeat-cycle | 指定机密计算应用运行时上报心跳的周期(秒) |
capi-target | 指定云 API 访问地址 |
force | 指定机密镜像转换时是否强制覆盖已有镜像 |
log | 指定 gramine 日志级别(none|error|warning|debug|trace|all),默认 error |
aslr | 指定是否禁用地址空间布局随机化(ASLR),默认 false |
palsize | 指定 gramine 自身内存使用大小,默认64M |
stacksize | 指定每个 gramine 进程中每个线程的栈大小,默认256K,单位 K(KiB)、M(MiB)、G(GiB) |
breaksize | 指定每个 gramine 进程的最大 brk 大小,默认246K,单位 K(KiB)、M(MiB)、G(GiB) |
eventfd | 指定是否允许系统调用 eventfd() 和 eventfd2(),默认 false |
sigterm | 指定是否允许一次性将 SIGTERM 信号注入 gramine |
root | 指定 gramine 根目录,默认为当前主机执行目录,模板目前默认配置为'/' |
mount | 指定主机需要 mount 到 gramine 的路径映射关系,格式: [:, ...],默认'/':'/' |
tmpfs | 指定 sgx enclave 内存临时文件路径,主机不存在,随 encalve 产生和销毁,格式: [, ...] |
start | 指定 gramine 内部起始(当前工作)目录,默认为--root 目录 |
debug | 指定 sgx enclave 是否为 debug 模式(true:debug 模式 enclave;false:release 模式 encalve),默认 false |
memsize | 指定 sgx enclave 大小,默认256M |
nonpie | 指定是否支持 non-PIE,默认 false |
thread | 指定 sgx enclave 内可以创建的最大线程数 |
exitless | 指定 sgx enclave 外创建的 RPC 线程数,默认0 |
avx | 指定是否开启 cpu avx 特性,默认 false |
avx512 | 指定是否开启 cpu avx512特性,默认 false |
mpx | 指定是否开启 cpu mpx 特性,默认 false |
pkru | 指定是否开启 cpu pkru 特性,默认 false |
allow | 指定允许无条件创建或加载到 sgx enclave 中的文件或目录,格式: [, ...],文件或目录状态读写 |
trust | 指定 sgx enclave 中主机信任文件或目录,构建机密应用进行 hash 并在运行时校验,文件或目录状态只读 |
protect | 指定 sgx enclave 加密存储文件或目录,构建机密应用时指定,运行时透明读写,文件或目录状态读写,目前不支持 |
filekey | 指定 sgx enclave 加密存储文件或目录的密钥,安全性差不建议使用,目前不支持 |
ra | 指定是否开启 dcap 远程证明,默认 false |
run
您可以使用此命令运行您的机密应用或机密镜像。
ccp-cli run <application-name> <parameter-list>参数:<application-name>: web端新建应用时指定的应用名称<parameter-list>: 用户应用运行时需要的参数列表
tmpl
您可以使用此命令管理您的机密计算模板。
ccp-cli tmpl | 参数 |
tmpl | 指定基础模板,支持多个模板列表,模板之间使用逗号分割,默认使用 default |
out | 指定输出的新模板 |
force | 指定是否强制覆盖已有模板 |
log | 指定 gramine 日志级别(none|error|warning|debug|trace|all),默认 error |
aslr | 指定是否禁用地址空间布局随机化(ASLR),默认 false |
palsize | 指定 gramine 自身内存使用大小,默认64M |
stacksize | 指定每个 gramine 进程中每个线程的栈大小,默认256K,单位 K(KiB)、M(MiB)、G(GiB) |
breaksize | 指定每个 gramine 进程的最大 brk 大小,默认246K,单位 K(KiB)、M(MiB)、G(GiB) |
eventfd | 指定是否允许系统调用 eventfd() 和 eventfd2(),默认 false |
sigterm | 指定是否允许一次性将 SIGTERM 信号注入 gramine |
root | 指定 gramine 根目录,默认为当前主机执行目录,模板目前默认配置为'/' |
mount | 指定主机需要 mount 到 gramine 的路径映射关系,格式: [:, ...],默认'/':'/' |
tmpfs | 指定 sgx enclave 内存临时文件路径,主机不存在,随 encalve 产生和销毁,格式: [, ...] |
start | 指定 gramine 内部起始(当前工作)目录,默认为--root 目录 |
debug | 指定 sgx enclave 是否为 debug 模式(true:debug 模式 enclave;false:release 模式 encalve),默认 false |
memsize | 指定 sgx enclave 大小,默认256M |
nonpie | 指定是否支持 non-PIE,默认 false |
thread | 指定 sgx enclave 内可以创建的最大线程数 |
exitless | 指定 sgx enclave 外创建的 RPC 线程数,默认0 |
avx | 指定是否开启 cpu avx 特性,默认 false |
avx512 | 指定是否开启 cpu avx 512特性,默认 false |
mpx | 指定是否开启 cpu mpx 特性,默认 false |
pkru | 指定是否开启 cpu pkru 特性,默认 false |
allow | 指定允许无条件创建或加载到 sgx enclave 中的文件或目录,格式: [, ...],文件或目录状态读写 |
trust | 指定 sgx enclave 中主机信任文件或目录,构建机密应用进行 hash 并在运行时校验,文件或目录状态只读 |
protect | 指定 sgx enclave 加密存储文件或目录,构建机密应用时指定,运行时透明读写,文件或目录状态读写,目前不支持 |
filekey | 指定 sgx enclave 加密存储文件或目录的密钥,安全性差不建议使用,目前不支持 |
ra | 指定是否开启 dcap 远程证明,默认 false |
info
您可以使用此命令查询您的机密计算节点相关信息。
// 查询机密计算运行节点环境信息ccp-cli info sgx参数: 无// 查询机密应用或镜像的manifest配置信息ccp-cli info manifest参数:--app-image: 指定用户机密镜像--app-name: 指定用户机密应用名称
version
您可以使用此命令查询 ccp 客户端命令行工具版本信息。
ccp-cli version参数: 无