当 Kubernetes 遇到机密计算，阿里巴巴如何保护容器内数据的安全？

作者 | 贾之光（甲卓） 阿里巴巴高级开发工程师

本次直播为第 5 期 SIG Cloud-Provider-Alibaba 网研会，我们邀请了阿里巴巴高级开发工程师 贾之光（花名：甲卓） 重点讲解《当 Kubernetes 遇到机密计算，阿里巴巴如何保护容器内数据的安全？》。

点击预约直播：

• 开发者社区
• 云栖社区

Portworx and Aqua Security 发布的《2019 容器接受度调研》报告显示，安全性成为了用户使用容器技术和业务上云面临的最大挑战，其中数据安全问题最为突出。

阿里云容器服务从基础设施层、软件供应链、Runtime 层提供了多维度的安全防护，并在 2019 年 9 月上线了 ACK-TEE 1.0，支持用户用 SGX SDK 开发基于 Intel SGX1 的可信应用。 机密计算可以把云厂商排除在 TCB(Trusted Computing Base)之外，这样上云用户就可以不再必须信任云厂商。但对用户而言，机密计算的技术门槛和开发成本都比较高，为此我们提供了 Inclavare Containers 开源项目。把机密计算和 Kubernetes 结合在了一起，降低机密计算的高使用门槛，提供与普通容器一致的使用体感，让用户方便、安全地上云。

2020 年 8 月 26 日下午 16：00，《当 Kubernetes 遇到机密计算，阿里巴巴如何保护容器内数据的安全？》主题线上网络研讨会即将召开。

2020 年 8 月 26 日网研会邀你参加

• 题目：当 Kubernetes 遇到机密计算，阿里巴巴如何保护容器内数据的安全？
• 时间：2020 年 8 月 26 日(16:00PM )
• 语言：中文

议题介绍

本次研讨会将介绍机密计算的概况， InclavareContainers 开源项目架构、已支持的功能和迭代计划，以及阿里云 ACK-TEE 的发展现状和规划。

听众收益：

1. 了解什么是机密计算，机密计算的应用场景以及机密计算在业界和社区的现状？
2. 如何在不做或者很少的改动下，让普通应用跑在 InclavareContainers 提供的可信执行环境中？
3. ACK-TEE 是如何提供机密计算服务的？

什么是 SIG Cloud-Provider-Alibaba?

Cloud Provider SIG 是 Kubernetes 的云厂商兴趣小组，致力于让 Kubernetes 的生态系统往厂商中立的方向演进，他会负责协调不同厂商尽可能以统一的标准来满足开发者的需求。阿里云作为国际有影响力的云厂商，作为国内首个加入 Cloud Provider SIG 的云厂商也在推动 Kubernetes 的进一步标准化，并进一步和横向云厂商如 AWS、Google、Azure 进行技术协同，优化云和 Kubernetes 连接，并统一不同组件的模块化和标准化协议。

• 第一期网研会回顾：https://yq.aliyun.com/articles/745588
• 第二期网研会回顾：https://developer.aliyun.com/article/755848
• 第三期网研会回顾：https://developer.aliyun.com/article/762949
• 第四期网研会回顾：https://developer.aliyun.com/article/769933（上篇）、https://developer.aliyun.com/article/769992（下篇）

如何参与共建？

Kubernetes 作为云原生时代的应用操作系统，已经成为事实上的标准。阿里云在 Kubernetes 实践的过程中开源了众多的项目，如位于底层的计算、存储、网络、安全等相关的 5 个大的类别和上层领域相关的 AI、应用管理、迁移、Serveless 等 5 个大的类别，为用户应用提供全栈式生命周期管理。

希望对 Kubernetes 感兴趣的开发者可以找到对应的开源项目。我们非常期待与大家一起来共建，无论是提 PR 或 Issue，还是对 Roadmap 提出建议。后续，SIG Cloug Provider Alibaba 也会针对具体的组件分享原理、最佳实践。