更新时间:2025-08-28 GMT+08:00
什么是QingTian Enclave
QingTian Enclave简介
- 在现有的基于QingTian架构的虚拟机产品中,我们增加了一个置于其内部的,安全的、完全隔离的虚拟机,这个虚拟机我们称之为QingTian Enclave虚拟机,外部对这个QingTian Enclave虚拟机具备所有权的虚拟机,我们称之为父虚拟机。QingTian Enclave是完全独立的虚拟机,无持久化存储、交互式访问或外部网络连接。父虚拟机与QingTian Enclave之间通过安全的本地通道进行通信。即使是父虚拟机上的root用户,也不能访问QingTian Enclave或通过 SSH 连接到QingTian Enclave。
- QingTianHypervisor可以将QingTian Enclave的CPU 和内存与父虚拟机的CPU和内存资源隔离开,提供给您一个完全隔离的可执行环境,显著减少了攻击面。因此,使用QingTian Enclave,您能保护敏感的核心数据和应用程序,为您在QingTian Enclave中运行的服务增加安全保障。
- QingTian Enclave还提供了证明(Attestation)的功能,您可以通过该功能验证QingTian Enclave实例的可信度量值。华为云密钥管理服务(Key management Service,简称KMS)为QingTian证明功能提供了内在支持,您能限制应用程序必须在预期的QingTian Enclave运行环境中才能调用KMS API处理敏感数据。
约束条件
QingTian Enclave有以下约束:
|
虚拟机名称 |
限制要求 |
|---|---|
|
父虚拟机(主虚拟机) |
|
|
QingTian Enclave(从虚拟机) |
|
父虚拟机和QingTian Enclave关系:
- 每个父虚拟机可以创建最多两个QingTian Enclave。
- 不支持与父虚拟机共物理内核。
- 只有在父虚拟机处于运行状态时,QingTian Enclave才处于运行状态。如果父虚拟机被停止或终止,则QingTian Enclave被终止。
- QingTian Enclave分配的资源(内存和CPU等),都是从父虚拟机中分割出来的,内存区间要求是2M/1G对齐的连续物理区间。
另外还需要注意:
- 如果您在QingTian Enclave中的业务被意外终止,您需要手动重新运行该业务
- QingTian Enclave的默认配置为使用1G大页,具有1G内存,2vcpu
- QingTian Enclave父虚拟机的最小规格是8vCPU,16G内存
