From 91c5c33cd421e4cf55ce6b193d4a9f49998e07c3 Mon Sep 17 00:00:00 2001 From: Pingsheng Pan Date: Fri, 24 Jan 2025 17:38:30 +0800 Subject: [PATCH] Add the confidential VM and Confidential container FAQs --- ...257\344\270\213\350\275\275\351\225\234\345\203\217.md" | 2 ++ ...CSV\346\234\272\345\257\206\345\256\271\345\231\250.md" | 2 +- ...272\345\257\206\350\231\232\346\213\237\346\234\272.md" | 6 +++++- .../3-\346\234\272\345\257\206\345\256\271\345\231\250.md" | 7 +++++-- 4 files changed, 13 insertions(+), 4 deletions(-) diff --git "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/4-KATA-3/11-\344\275\277\347\224\250\350\272\253\344\273\275\351\252\214\350\257\201\344\277\241\346\201\257\344\270\213\350\275\275\351\225\234\345\203\217.md" "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/4-KATA-3/11-\344\275\277\347\224\250\350\272\253\344\273\275\351\252\214\350\257\201\344\277\241\346\201\257\344\270\213\350\275\275\351\225\234\345\203\217.md" index 06865a9d..3510e7db 100755 --- "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/4-KATA-3/11-\344\275\277\347\224\250\350\272\253\344\273\275\351\252\214\350\257\201\344\277\241\346\201\257\344\270\213\350\275\275\351\225\234\345\203\217.md" +++ "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/4-KATA-3/11-\344\275\277\347\224\250\350\272\253\344\273\275\351\252\214\350\257\201\344\277\241\346\201\257\344\270\213\350\275\275\351\225\234\345\203\217.md" @@ -7,6 +7,8 @@ - 首先获取账户名密码的base64编码 +** 下面的账号密码只是作为示例,请替换成客户自己的实际账号密码** + ``` $ echo "pawsonfang:Passw0rd123" | base64 cGF3c29uZmFuZzpQYXNzdzByZDEyMwo= diff --git "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/4-KATA-3/2-\346\265\213\350\257\225CSV\346\234\272\345\257\206\345\256\271\345\231\250.md" "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/4-KATA-3/2-\346\265\213\350\257\225CSV\346\234\272\345\257\206\345\256\271\345\231\250.md" index d792af78..73e4ea23 100644 --- "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/4-KATA-3/2-\346\265\213\350\257\225CSV\346\234\272\345\257\206\345\256\271\345\231\250.md" +++ "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/4-KATA-3/2-\346\265\213\350\257\225CSV\346\234\272\345\257\206\345\256\271\345\231\250.md" @@ -63,7 +63,7 @@ nginx 1/1 Running 0 3m50s `agent.https_proxy=http://ip:port agent.no_proxy=10.*.*.*,172.*.*.*` **不要直接拷贝,仔细阅读下面说明** ``` - sudo sed -i -e 's#^\(kernel_params\).*=.*$#\1 = \"agent.https_proxy=http://ip:port agent.no_proxy=10.*.*.*,172.*.*.* agent.enable_signature_verification=false \"#g' /opt/confidential-containers/share/defaults/kata-containers/configuration-qemu-csv.toml + sudo sed -i -e 's#^\(kernel_params\).*=.*$#\1 = \"agent.https_proxy=http://ip:port agent.no_proxy=10.*.*.*,172.*.*.* agent.aa_kbc_params=offline_fs_kbc::null agent.enable_signature_verification=false \"#g' /opt/confidential-containers/share/defaults/kata-containers/configuration-qemu-csv.toml ``` 1.测试示例中使用的是dockerhub 仓库镜像,由于国内网络目前访问不了dockerhub 需要使用代理,代理参数`agent.https_proxy=http://ip:port agent.no_proxy=10.*.*.*,172.*.*.*` **http://ip:port 改为客户自己实际代理地址,后续机密容器测试步骤都需要加代理,ip 不要设置为127.0.0.1本地地址** diff --git "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/9-FAQ/2-\346\234\272\345\257\206\350\231\232\346\213\237\346\234\272.md" "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/9-FAQ/2-\346\234\272\345\257\206\350\231\232\346\213\237\346\234\272.md" index 18fc5d35..f099bba1 100644 --- "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/9-FAQ/2-\346\234\272\345\257\206\350\231\232\346\213\237\346\234\272.md" +++ "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/9-FAQ/2-\346\234\272\345\257\206\350\231\232\346\213\237\346\234\272.md" @@ -95,4 +95,8 @@ A: 可能是已经生成过对应的文件,将文件删除重新尝试 $ cat /sys/module/kvm_amd/parameters/sev 1 ``` - 上面的内容值必须是1 \ No newline at end of file + 上面的内容值必须是1 + + #### Q: 原生麒麟虚拟机使用-device virtio-net-pci,netdev=net0,romfile= 网络参数启动卡主 + + A: 使用 -device virtio-net-pci,netdev=net0,disable-legacy=on,iommu_platform=on,romfile= 参数进行替换 \ No newline at end of file diff --git "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/9-FAQ/3-\346\234\272\345\257\206\345\256\271\345\231\250.md" "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/9-FAQ/3-\346\234\272\345\257\206\345\256\271\345\231\250.md" index 0ac5fdb3..67536f0c 100644 --- "a/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/9-FAQ/3-\346\234\272\345\257\206\345\256\271\345\231\250.md" +++ "b/sig/Hygon Arch/content/2-CSV\346\265\213\350\257\225\346\226\207\346\241\243/9-FAQ/3-\346\234\272\345\257\206\345\256\271\345\231\250.md" @@ -31,6 +31,9 @@ X-Xss-Protection: 0 打开虚拟机 debug console,启动容器之前添加如下配置 ``` +$ sudo sed -i -e 's/^# *\(enable_debug\).*=.*$/\1 = true/g' /opt/confidential-containers/share/defaults/kata-containers/configuration-qemu-csv.toml +$ sudo sed -i -e 's/^kernel_params = "\(.*\)"/kernel_params = "\1 agent.log=debug initcall_debug"/g' /opt/confidential-containers/share/defaults/kata-containers/configuration-qemu-csv.toml +$ sudo sed -i -e 's/^# *\(use_legacy_serial\).*=.*$/\1 = true/g' /opt/confidential-containers/share/defaults/kata-containers/configuration-qemu-csv.toml $ sudo sed -i -e 's/^# *\(debug_console_enabled\).*=.*$/\1 = true/g' /opt/confidential-containers/share/defaults/kata-containers/configuration-qemu-csv.toml ``` 获取虚拟机的sandbox id @@ -87,10 +90,10 @@ $ sudo sed -i "s/^default_memory *=.*\$/default_memory = 10240/g" /opt/confident sudo docker pull registry:2.7.0 ``` - 生成密码文件 - user passord 为仓库账号密码,根据需求自行调整 + user password 为仓库账号密码,根据需求自行调整 ``` # mkdir -p /docker/registry/auth - # docker run --entrypoint htpasswd registry:2.7.0 -Bbn user passord >> /docker/registry/auth/htpasswd + # docker run --entrypoint htpasswd registry:2.7.0 -Bbn user password >> /docker/registry/auth/htpasswd ``` - 设置配置文件 ``` -- Gitee