導(dǎo)讀：云服務(wù)器ECS實(shí)例之彈性裸金屬服務(wù)器下 咨詢熱線 4006-333-292

　　本文介紹彈性裸金屬服務(wù)器高主頻型ebmhfg5、計(jì)算型ebmc4和通用型ebmg5的特點(diǎn)，并列出了具體的實(shí)例規(guī)格。

　　您可以按照 創(chuàng)建ECS實(shí)例 的描述創(chuàng)建彈性裸金屬服務(wù)器。(單擊創(chuàng)建)

　　在選擇配置時(shí)，您需要注意以下幾點(diǎn)：

　　· 地域：目前只能選擇 華東2可用區(qū)D、華北2可用區(qū)C、華東1可用區(qū)G、華南1可用區(qū)D。

　　· 實(shí)例：可以選擇ebmhfg5、ebmc4和ebmg5。規(guī)格族的詳細(xì)信息，請(qǐng)參見(jiàn) 實(shí)例規(guī)格族。

　　· 鏡像：只支持部分公共鏡像，如下表所示。

　　操作系統(tǒng)類別鏡像

　　Linux· CentOS 7.2/7.3/7.4/6.9/6.8 64位

　　· Ubuntu 14.04/16.04 64位

　　· Debian 8.9/9.2 64位

　　· OpenSUE 42.3 64位

　　· SUSE Linux Enterprise Server 12 SP2 64位

　　· Aliyun Linux 17.1 64位

　　Windows· 2016 數(shù)據(jù)中心版 64 位中文版

　　· 2016 數(shù)據(jù)中心版 64 位英文版

　　· 2012 R2 數(shù)據(jù)中心版 64 位中文版

　　· 2012 R2 數(shù)據(jù)中心版 64 位英文版

　　·

　　· 存儲(chǔ)：彈性裸金屬服務(wù)器支持最多掛載16塊數(shù)據(jù)盤。您可以在這里添加數(shù)據(jù)盤，也可以在實(shí)例創(chuàng)建成功后再 單獨(dú)創(chuàng)建 并 掛載數(shù)據(jù)盤。

　　· 網(wǎng)絡(luò)：僅支持專有網(wǎng)絡(luò)VPC。

　　原理

　　英特爾 SGX(Intel Software Guard Extension)是英特爾指令集架構(gòu)的一個(gè)擴(kuò)展。SGX 為您提供了圍圈(Enclave)，即內(nèi)存中一個(gè)加密的可信執(zhí)行區(qū)域，由 CPU 保護(hù)您的數(shù)據(jù)和隱私不被惡意代碼竊取。

　　SGX 利用新增的處理器指令，在內(nèi)存中分配一部分區(qū)域 EPC(Enclave Page Cache)，通過(guò) CPU 內(nèi)的加密引擎 MEE(Memory Encryption Engine)對(duì)其中的數(shù)據(jù)進(jìn)行加密。EPC 中加密的內(nèi)容只有進(jìn)入 CPU 后才會(huì)被解密成明文。因此，在 SGX 中，您可以不信任操作系統(tǒng)、VMM、甚至 BIOS，只需要信任 CPU 便能確保隱私數(shù)據(jù)不會(huì)泄漏。

　　應(yīng)用

　　實(shí)際應(yīng)用中，您可以把隱私數(shù)據(jù)加密后以密文形式傳遞至云上的圍圈中，并通過(guò)遠(yuǎn)程證明把對(duì)應(yīng)的秘鑰也傳入圍圈。然后在 CPU 的加密保護(hù)下利用數(shù)據(jù)進(jìn)行運(yùn)算，結(jié)果會(huì)以密文形式返回給您。這種模式下，您既可以利用云計(jì)算強(qiáng)大的計(jì)算力，又不用擔(dān)心數(shù)據(jù)泄漏。

　　EDL(Enclave Definition Language)

　　EDL 是 SGX 編程的核心，其中定義了所有圍圈里對(duì)外讀寫、處理數(shù)據(jù)的函數(shù)。在編譯階段，SDK 提供的 Edger8r 工具會(huì)根據(jù) EDL 中定義的函數(shù)生成圍圈和普通內(nèi)存的橋接函數(shù)，并做相應(yīng)的安全檢測(cè)。

　　函數(shù)分為信任函數(shù)(ecall)和不可信函數(shù)(ocall)：

　　· ecall：定義在信任區(qū)域(trusted)，在圍圈外被調(diào)用，并在圍圈內(nèi)執(zhí)行。

　　· ocall：定義在不可信區(qū)域(untrusted)，在圍圈內(nèi)被調(diào)用，并在圍圈外執(zhí)行。

　　試用

　　// demo.edl

　　enclave {

　　// Add your definition of "secret_t" here

　　trusted {

　　public void get_secret([out] secret_t* secret);

　　};

　　untrusted {

　　// This OCALL is for illustration purposes only.

　　// It should not be used in a real enclave,

　　// unless it is during the development phase

　　// for debugging purposes.

　　void dump_secret([in] const secret_t* secret);

　　};

　　};

　　以安裝文件方式安裝 SGX

　　需要先安裝對(duì)應(yīng) Linux 內(nèi)核版本的頭文件，安裝 SGX 時(shí)包括驅(qū)動(dòng)、PSW、SDK 等組件。

　　說(shuō)明 樣例中的 Makefile 默認(rèn)安裝目錄是 /opt/intel/。

　　1. 下載 適用 SGX 版本的安裝文件。

　　2. 按照 安裝指南 的步驟進(jìn)行安裝。

　　以源代碼方式安裝 SGX

　　需要先安裝對(duì)應(yīng) Linux 內(nèi)核版本的頭文件，安裝 SGX 時(shí)包括驅(qū)動(dòng)、PSW、SDK 等組件。

　　說(shuō)明 樣例中的 Makefile 默認(rèn)安裝目錄是 /opt/intel/。

　　1. 從 官方 Github 下載源代碼。

　　2. 按 README.md 所述流程編譯源代碼。

　　【阿里云，阿里巴巴集團(tuán)旗下云計(jì)算品牌，全球卓越的云計(jì)算技術(shù)和服務(wù)提供商。海商(www.hydrodefense.cn)作為阿里云湖南唯一授權(quán)服務(wù)中心，國(guó)內(nèi)知名商城系統(tǒng)及商城網(wǎng)站建設(shè)提供商，專為企業(yè)提供專業(yè)完善電商整體解決方案、微商云、視頻云、醫(yī)療云等，咨詢阿里云服務(wù)器詳情可電聯(lián)：18684778716(微信同號(hào))】