通用类

什么是QingTian Enclave?

QingTian Enclave是基于QingTian架构虚拟机产品所提供的一个安全特性。借助QingTian Enclave提供的隔离、高度受限的环境，客户可以部署其安全敏感型应用程序，缩小其攻击面。

为什么需要使用QingTian Enclave？

QingTian Enclave在普通的ECS实例中提供了隔离的计算环境，以处理高度敏感的数据。

QingTian Enclave是完全独立的虚拟机，无持久化存储、交互式访问或外部网络连接，您的ECS实例通过安全的本地通道与QingTian Enclave之间进行通信。

什么时候需要使用QingTian Enclave？

当您需要处理安全敏感型数据，并希望处理该数据的过程与有权访问您实例的用户、应用程序或者三方库隔离时，您应该使用QingTian Enclave。

您可以利用QingTian Enclave开发和运行各种程序，以应对不同的使用场景，比如个人隐私信息处理，专有代码和算法运算，多方计算等。

如何开始使用QingTian Enclave？

您可以参考QingTian Enclave快速入门，来开启您的QingTian Enclave开发之旅。

什么是内存和CPU隔离？

内存和CPU隔离技术可以防止ECS实例上的用户、应用程序和第三方库直接访问已被隔离给QingTian Enclave使用的内存和CPU。您可以通过华为云QingTian命令行工具（qt CLI），使用这部分被隔离的内存和CPU启动QingTian Enclave虚拟机，详细操作请参考QingTian CLI（qt CLI）。

QingTian Enclave是如何保证内存和CPU隔离的？

QingTian Enclave采用经过验证的基于CPU的隔离技术，并结合QingTian架构的独特设计和基于华为自研智能网卡的可信根证书，共同实现隔离。由华为云开发和设计的极简QingTian Hypervisor可以将服务器的物理资源进行分区。相比于其他虚拟化技术，QingTian Hypervisor裁剪了所有不必要的功能。QingTian Enclave扩展了QingTian Hypervisor的隔离功能，保护了分配给QingTian Enclave的CPU和内存，保证其与ECS实例的CPU和内存资源相隔离，为您提供一个完全隔离的可执行环境。

哪些实例规格支持QingTian Enclave？

目前c7t实例已支持QingTian Enclave特性。

什么是证明（Attestation）文档？

证明文档用于证明QingTian Enclave实例的可信度量结果。证明文档由QingTian Hypervisor生成，文档内容包括PCR（Platform configuration registers，平台配置寄存器）列表、QingTian Attestation PKI（Public Key Infrastructure，公钥基础设施）证书链、密码算法声明以及Enclave应用自定义数据。

证明文档由华为云QingTian Attestation PKI签署。华为云KMS（Key management Service，密钥管理服务）内置了对QingTian Enclave证明的支持。通过使用QingTian Enclave SDK中包含的华为云KMS API，您可以在QingTian Enclave实例中基于QingTian Enclave证明来执行华为云KMS操作，比如解密、生成随机数和加密等操作。华为云KMS服务提取来自QingTian Enclave的证明文档并根据预设的华为云IAM（Identity and Access Management，统一身份认证服务）授权策略对其进行访问权限控制。

QingTian Enclave证明文件的信任根源是什么？该如何验证它？

证明文档由华为云QingTian Attestation PKI （Public Key Infrastructure）签署。华为云QingTian根证书可以从https://qingtian-enclave.obs.myhuaweicloud.com/huawei_qingtian-enclaves_root-G1.zip下载获取。文档签名验证方法请参考文档签名验证。

QingTian Enclave如何进行收费？

目前使用QingTian Enclave不会收取额外费用，您只需要支付ECS实例的购买费用。