更新时间:2025-08-28 GMT+08:00

什么是QingTian Enclave

QingTian Enclave简介

  • 在现有的基于QingTian架构的虚拟机产品中,我们增加了一个置于其内部的,安全的、完全隔离的虚拟机,这个虚拟机我们称之为QingTian Enclave虚拟机,外部对这个QingTian Enclave虚拟机具备所有权的虚拟机,我们称之为父虚拟机。QingTian Enclave是完全独立的虚拟机,无持久化存储、交互式访问或外部网络连接。父虚拟机与QingTian Enclave之间通过安全的本地通道进行通信。即使是父虚拟机上的root用户,也不能访问QingTian Enclave或通过 SSH 连接到QingTian Enclave。
  • QingTianHypervisor可以将QingTian Enclave的CPU 和内存与父虚拟机的CPU和内存资源隔离开,提供给您一个完全隔离的可执行环境,显著减少了攻击面。因此,使用QingTian Enclave,您能保护敏感的核心数据和应用程序,为您在QingTian Enclave中运行的服务增加安全保障。
  • QingTian Enclave还提供了证明(Attestation)的功能,您可以通过该功能验证QingTian Enclave实例的可信度量值。华为云密钥管理服务(Key management Service,简称KMS)为QingTian证明功能提供了内在支持,您能限制应用程序必须在预期的QingTian Enclave运行环境中才能调用KMS API处理敏感数据。

约束条件

QingTian Enclave有以下约束:

虚拟机名称

限制要求

父虚拟机(主虚拟机)

  1. 至少预留2个vCPU,至少预留512M内存空间。
  2. 必须为Linux操作系统。
  3. 支持QingTian Enclave特性的父虚拟机规格: c7t、kc2
  4. 支持QingTian Enclave特性的局点: 华北-北京四、华东-上海一、华南-广州、亚太-新加坡、土耳其-伊斯坦布尔

QingTian Enclave(从虚拟机)

  1. 裸金属实例不支持QingTian Enclave。
  2. 必须为Linux操作系统。
  3. 启动QingTian Enclave最低内存规格为128M,并且不能小于Enclave镜像文件(Enclave Image File,简称EIF)文件大小的4倍。
  4. 当在配置文件中,为QingTian Enclave配置2M大页的内存管理方式时,隔离内存最多为512M。若配置文件中配置超过512M,则会按512M进行隔离。
  5. 当在配置文件中,为QingTian Enclave配置1G大页的内存管理方式时,单台QingTian Enclave最大规格内存为256G。
  6. QingTian Enclave所使用的内存和CPU都必须隔离自同一个NUMA节点。
  7. vcpu数量配置需要为cpu thread的倍数,最高不超过父虚拟机单NUMA node cpu数量减 2;总数量最高不超过62。
  8. 在QingTian Enclave中运行的应用程序需要和OS(内核,ramdisk,init程序)一起被打包成QingTian Enclave镜像。

内存和CPU资源隔离的详细内容,请参见资源隔离

父虚拟机和QingTian Enclave关系:

  1. 每个父虚拟机可以创建最多两个QingTian Enclave。
  2. 不支持与父虚拟机共物理内核。
  3. 只有在父虚拟机处于运行状态时,QingTian Enclave才处于运行状态。如果父虚拟机被停止或终止,则QingTian Enclave被终止。
  4. QingTian Enclave分配的资源(内存和CPU等),都是从父虚拟机中分割出来的,内存区间要求是2M/1G对齐的连续物理区间。

另外还需要注意:

  1. 如果您在QingTian Enclave中的业务被意外终止,您需要手动重新运行该业务
  2. QingTian Enclave的默认配置为使用1G大页,具有1G内存,2vcpu
  3. QingTian Enclave父虚拟机的最小规格是8vCPU,16G内存

相关服务

QingTian Enclave与以下华为云服务集成:

  1. 密钥管理服务

    密钥管理服务(KMS)是华为云数据加密服务族中的一个核心服务。KMS提供可用性高的密钥生成、存储、管理和审计解决方案。KMS密钥由硬件安全模块HSM保护,并与许多华为云数据存储服务集成。您可以借此服务开发自己的安全的数据应用。

  2. 统一身份认证服务

    统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理的基础服务,可以帮助您安全地控制华为云服务和资源的访问权限。