在现有的基于QingTian架构的虚拟机产品中，我们增加了一个置于其内部的，安全的、完全隔离的虚拟机，这个虚拟机我们称之为QingTian Enclave虚拟机，外部对这个QingTian Enclave虚拟机具备所有权的虚拟机，我们称之为父虚拟机。QingTian Enclave是完全独立的虚拟机，无持久化存储、交互式访问或外部网络连接。父虚拟机与QingTian Enclave之间通过安全的本地通道进行通信。即使是父虚拟机上的root用户，也不能访问QingTian Enclave或通过 SSH 连接到QingTian Enclave。
QingTianHypervisor可以将QingTian Enclave的CPU 和内存与父虚拟机的CPU和内存资源隔离开，提供给您一个完全隔离的可执行环境，显著减少了攻击面。因此，使用QingTian Enclave，您能保护敏感的核心数据和应用程序，为您在QingTian Enclave中运行的服务增加安全保障。
QingTian Enclave还提供了证明（Attestation）的功能，您可以通过该功能验证QingTian Enclave实例的可信度量值。华为云密钥管理服务（Key management Service，简称KMS）为QingTian证明功能提供了内在支持，您能限制应用程序必须在预期的QingTian Enclave运行环境中才能调用KMS API处理敏感数据。

约束条件

QingTian Enclave有以下约束：

虚拟机名称	限制要求
父虚拟机（主虚拟机）	至少预留2个vCPU，至少预留512M内存空间。 必须为Linux操作系统。
QingTian Enclave（从虚拟机）	裸金属实例不支持QingTian Enclave。 必须为Linux操作系统。 启动QingTian Enclave最低内存规格为128M，并且不能小于Enclave镜像文件（Enclave Image File，简称EIF）文件大小的4倍。 当在配置文件中，为QingTian Enclave配置2M大页的内存管理方式时，QingTian Enclave启动支持的最大内存为512M。 当在配置文件中，为QingTian Enclave配置1G大页的内存管理方式时，QingTian Enclave最大内存为256G。 QingTian Enclave所使用的内存和CPU都必须隔离自同一个NUMA节点。 vcpu数量配置需要为偶数，最高不超过父虚拟机单NUMA node cpu数量减 2；总数量最高不超过62。 在QingTian Enclave中运行的应用程序需要和OS（内核，ramdisk，init程序）一起被打包成QingTian Enclave镜像。

父虚拟机和QingTian Enclave关系：

每个父虚拟机可以创建最多两个QingTian Enclave。
不支持与父虚拟机共物理内核。
只有在父虚拟机处于运行状态时，QingTian Enclave才处于运行状态。如果父虚拟机被停止或终止，则QingTian Enclave被终止。
QingTian Enclave分配的资源（内存和CPU等），都是从父虚拟机中分割出来的，内存区间要求是2M/1G对齐的连续物理区间。

另外还需要注意：

支持QingTian Enclave特性的父虚拟机规格： c7t

c7t规格还处于公测阶段，请通过提交工单联系客服申请公测。

支持QingTian Enclave特性的局点： 华东-上海一
如果您在QingTian Enclave中的业务被意外终止，您需要手动重新运行该业务
QingTian Enclave的默认配置为使用1G大页，具有1G内存，2vcpu

计费标准

在公测期间，使用QingTian Enclave并不会收取额外费用，您只需要支付ECS的购买费用。

相关服务

QingTian Enclave与以下华为云服务集成：

密钥管理服务

密钥管理服务（KMS）是华为云数据加密服务族中的一个核心服务。KMS提供可用性高的密钥生成、存储、管理和审计解决方案。KMS密钥由硬件安全模块HSM保护，并与许多华为云数据存储服务集成。您可以借此服务开发自己的安全的数据应用。

华为统一身份认证服务

统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助您安全地控制华为云服务和资源的访问权限。

父主题： QingTian Enclave简介

内容没看懂？ 不太想学习？想快速解决？ 有偿解决： 联系专家