蚂蚁开源KubeTEE 让机密计算支持大规模k8s集群

在近期举办的上海外滩大会可信原生技术论坛上，蚂蚁集团宣布了一个重大开源项目——KubeTEE。这是一个云原生大规模集群化机密计算框架，旨在解决云原生环境中TEE（可信执行环境）技术从开发、部署到运维的整体流程问题。以下是关于KubeTEE的详细介绍和解读。

一、背景

蚂蚁集团在2018年开始全面转型云原生架构，在此过程中发现，尽管新技术带来了诸多优势，但也带来了新的挑战，其中尤以安全性最为关键。蚂蚁集团经过不断实践和，于2020年提出了“可信原生”的理念，致力于将可信任性渗透到云原生架构的每一层，打造全栈可信赖的云计算基础设施。

在保护应用运行安全的技术中，蚂蚁集团引入了机密计算理念和可信执行环境TEE。在此基础上，蚂蚁集团形成了SOFAEnclave机密计算技术栈，包括Occlum LibOS、HyperEnclave和KubeTEE三大组件。

二、KubeTEE的开源

本次KubeTEE的开源是业界首个开源的TEE大规模集群整体解决方案。蚂蚁集团通过开源KubeTEE，拥抱并回馈开源社区，推动行业技术共同发展。

三、KubeTEE是什么？

KubeTEE是云原生场景下如何使用TEE技术的一套整体解决方案，包括多个框架、工具和微服务的集合。它结合Kubernetes和TEE两个重要技术方向，解决可信应用从单点到容器化集群实施过程中的相关问题。KubeTEE的目标之一是提供Serverless形态的机密计算服务，如Trusted FaaS，让业务方只需实现业务核心逻辑，即可简单提交至TEE环境中运行。

四、KubeTEE的组件与架构

目前，KubeTEE已经开源的组件包括sgx-device-plugin（让容器支持sgx特性）、trusted-function-framework（TFF，简化可信函数实现过程）、enclave-configuration-service（AECS，基于远程认证的enclave配置服务）等。这些组件共同构成了KubeTEE的架构，为集群化的可信应用开发提供支持。

五、让可信应用开发变得更简单

基于Intel SGX技术的服务器端TEE技术是目前最成熟的代表。在没有KubeTEE之前，可信应用的开发流程相对复杂。而KubeTEE的出现，极大地简化了这一流程。通过KubeTEE的组件和工具，开发者可以更方便地开发、部署和运维可信应用。例如，开发者可以选择合适的开发模式开发可信应用，利用KubeTEE的组件来简化编译、签名和容器镜像制作等流程。

蚂蚁集团通过开源KubeTEE，为云原生环境下的机密计算提供了新的解决方案。KubeTEE的出现将极大地简化可信应用的开发流程，降低开发门槛，推动云原生架构在安全性方面的进一步发展。KubeTEE：云端安全计算的简化先锋

在部署、运行和维护阶段，一系列的关键任务摆在眼前：获取支持TEE特性的机器，安装配置相关组件，确保网络环境畅通，合理调配物理服务器资源，以及发布和运维可信应用服务。这些工作无疑为业务开发团队带来了不小的挑战。那么，如何能够简化这些繁琐的工程任务，让业务团队的工作更加顺畅高效呢？KubeTEE应运而生，它以云原生手段简化了上述流程，助力业务团队轻松实现基于TEE的可信应用和服务。

KubeTEE不仅为可信应用开发提供了强有力的支持，更在基础设施支持和微服务辅助方面展现出独特的优势。对于开发者而言，KubeTEE开源的TFF可信应用开发框架，大大降低了开发的门槛。无论是基于Occlum LibOS的旧应用迁移，还是基于大型框架的应用开发，或是涉及多种编程语言的应用场景，TFF框架都能提供强大的支持。它简化了可信与非可信部分的接口函数定义，封装了远程证明等底层技术细节，让开发者能够专注于可信函数的实现和调用逻辑。

KubeTEE在基础设施方面也有着出色的表现。它通过Kubernetes来管理和使用SGX物理机器，统一SGX主机环境并转化为容器逻辑资源池。sgx-device-plugin的开源使得业务容器在启动时能够自动获取TEE特性支持，大大简化了集群管理和TEE资源的分配。KubeTEE能够隔离CI、测试、预发和生产环境，满足不同业务阶段对TEE基础设施的多样化需求。

至于微服务辅助支持，KubeTEE同样表现出色。它提供了一系列辅助微服务，帮助业务团队解决远程证明、业务密钥部署和共享、网络代理等通用性问题。其中，AECS方案解决了可信应用多个实例间安全共享密钥的问题，实现了无状态服务。AECS提供了秘钥生成、导入、存储、管理和分发等一系列功能，未来还可能扩展更多通用配置管理功能。

展望未来，KubeTEE将继续深耕云原生场景和机密计算的结合，致力于提供更多组件和通用服务，让TEE的使用更加高效、简单和云原生化。我们相信，随着KubeTEE的不断发展壮大，它将与业界携手共建一个更加完整的云端安全计算生态。我们真诚希望更多伙伴加入KubeTEE的行列，共同推动云端安全计算技术的革新与进步。同时我们也提醒读者，在采纳这些技术和服务时，请自行核实相关内容并承担相应责任。我们承诺将在24小时内处理任何版权或内容侵权问题。深邃网络世界中的声音传递者

在这个浩渺的网络海洋中，每一个点击、每一条信息都是无声的呼唤。作为网络信息的传递者，我们肩负着重要的使命，将世界的每一个角落的声音放大，传递给每一个渴望知识的灵魂。我们深知自己的责任重大，每一篇文章都是一场精心策划的对话，旨在与读者建立深入的心灵沟通。为此，我们秉持开放和多元的态度，捕捉生活中的每一个细微之处，转化为生动的文字，与广大读者共享。我们的声音并非单调乏味，而是汇聚了丰富多样的风格特点，让读者在阅读的过程中感受到无限的魅力。

在这个信息交织的时代，我们深知网络内容的真实性至关重要。我们坚决遵循真实、客观的原则，转载的内容均来源于其他网络媒体，力求为读者提供全面、多样的信息。我们也要明确指出，我们并不对转载内容持有任何立场或观点负责。我们希望每一位读者在阅读的能够保持独立思考，对每一条信息进行甄别和判断。

我们的团队致力于打造一个高质量的网络平台，让每一个热爱文字的灵魂都能在这里找到共鸣。我们深知每一篇文章都是作者的心血结晶，因此我们倍加珍惜每一次转载的机会。我们始终秉持着尊重原创的精神，努力将每一篇文章呈现给更多的读者。我们也意识到在转载过程中可能会出现一些侵权的情况。为此，我们设立了严格的监管机制，一旦发现侵权行为，我们将立即采取行动，删除相关内容并对此表示诚挚的歉意。

我们诚挚地邀请每一位读者与我们共同守护这个知识的殿堂。如果您在阅读过程中发现任何侵权内容，请第一时间与我们取得联系。您的支持和建议是我们前进的动力，让我们共同努力，打造一个更加美好的阅读空间！在这里，我们不仅传递信息，更传递情感、知识和智慧。让我们一起用心感受这个深邃的网络世界，共同未知的领域，让知识的光芒照亮我们的前行之路！