- 新手指引
- 动态与公告
- 公共镜像更新记录
- 公告
- 关于CentOS 7系列部分镜像pip包管理工具更新公告
- 关于 CentOS 8 终止维护公告
- 关于不再支持 SUSE 商业版镜像公告
- 关于多个可用区云服务器价格下调公告
- 关于 OrcaTerm 代理 IP 地址更替的公告
- 关于硅谷地域标准型 S3 价格调整的公告
- 腾讯云 Linux 镜像长期漏洞修复策略公告
- 关于 Ubuntu 10.04 镜像下线及存量软件源配置的公告
- 关于 Ubuntu14.04 无法启动 Tomcat 的解决方案
- 关于Windows云服务器升级Virtio网卡驱动的通知
- 关于安全组53端口配置的公告
- 关于不再支持 Windows Server 2003 系统镜像的公告
- 关于不再支持 Windows Server 2008 R2 企业版 SP1 64位系统镜像的公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 针对 CVM 的最佳实践
- 云服务器选型最佳实践
- 如何搭建网站
- 搭建环境
- 搭建网站
- 搭建应用
- 搭建可视化界面
- 数据备份
- 本地文件上传到云服务器
- 其他场景相关操作
- 云服务器通过内网访问对象存储
- 启动模式 Legacy BIOS 和 UEFI 最佳实践
- Linux 实例数据恢复
- Windows 实例磁盘空间管理
- Linux 实例手动更换内核
- 云服务器搭建 Windows 系统 AD 域
- 网络性能测试
- 高吞吐网络性能测试
- Linux 系统使用 USB/IP 远程共享 USB 设备
- Windows 系统使用 RemoteFx 重定向 USB 设备
- 在 CVM 上通过 AVX512 加速人工智能应用
- 构建 Tencent SGX 机密计算环境
- M6p 实例配置持久内存
- 使用 Python 调用云 API 实现批量共享自定义镜像
- 运维指南
- 故障处理
- 实例相关故障
- 无法登录云服务器问题处理思路
- Windows 实例登录相关问题
- Linux 实例登录相关问题
- 无法登录 Linux 实例
- Linux 实例:无法通过 SSH 方式登录
- Linux 实例:CPU 或内存占用率高导致登录卡顿
- Linux 实例:端口问题导致无法登录
- Linux 实例:VNC 登录报错 Module is unknown
- Linux 实例:VNC 登录报错 Account locked due to XXX failed logins
- Linux 实例:VNC 登录输入正确密码后无响应
- Linux 实例:VNC 或 SSH 登录报错 Permission denied
- Linux 实例:/etc/fstab 配置错误导致无法登录
- Linux 实例:sshd 配置文件权限问题
- Linux 实例:/etc/profile 死循环调用问题
- 服务器被隔离导致无法登录
- 带宽占用高导致无法登录
- 安全组设置导致无法远程连接
- Linux 实例使用 VNC 及救援模式排障
- 关机和重启云服务器失败
- 无法创建 Network Namespace
- 内核及 IO 相关问题
- 系统 bin 或 lib 软链接缺失
- 云服务器疑似被病毒入侵问题
- 创建文件报错 no space left on device
- Linux 实例内存相关故障
- 网络相关故障
- 实例相关故障
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Region APIs
- Instance APIs
- DescribeInstances
- DescribeInstanceFamilyConfigs
- DescribeZoneInstanceConfigInfos
- DescribeInstanceTypeConfigs
- DescribeInstancesOperationLimit
- DescribeInstanceVncUrl
- InquiryPriceRunInstances
- InquiryPriceResetInstance
- InquiryPriceResetInstancesType
- InquiryPriceResizeInstanceDisks
- RunInstances
- StartInstances
- RebootInstances
- StopInstances
- ResetInstance
- TerminateInstances
- ResetInstancesType
- ResizeInstanceDisks
- ResetInstancesPassword
- ModifyInstancesAttribute
- ModifyInstancesProject
- InquirePricePurchaseReservedInstancesOffering
- DescribeReservedInstancesConfigInfos
- DescribeInstancesStatus
- PurchaseReservedInstancesOffering
- Cloud Hosting Cluster APIs
- Placement Group APIs
- Image APIs
- Key APIs
- Security Group APIs
- Network APIs
- Instance Launch Template APIs
- Data Types
- Error Codes
- 常见问题
- 相关协议
- 词汇表
- 新手指引
- 动态与公告
- 公共镜像更新记录
- 公告
- 关于CentOS 7系列部分镜像pip包管理工具更新公告
- 关于 CentOS 8 终止维护公告
- 关于不再支持 SUSE 商业版镜像公告
- 关于多个可用区云服务器价格下调公告
- 关于 OrcaTerm 代理 IP 地址更替的公告
- 关于硅谷地域标准型 S3 价格调整的公告
- 腾讯云 Linux 镜像长期漏洞修复策略公告
- 关于 Ubuntu 10.04 镜像下线及存量软件源配置的公告
- 关于 Ubuntu14.04 无法启动 Tomcat 的解决方案
- 关于Windows云服务器升级Virtio网卡驱动的通知
- 关于安全组53端口配置的公告
- 关于不再支持 Windows Server 2003 系统镜像的公告
- 关于不再支持 Windows Server 2008 R2 企业版 SP1 64位系统镜像的公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 针对 CVM 的最佳实践
- 云服务器选型最佳实践
- 如何搭建网站
- 搭建环境
- 搭建网站
- 搭建应用
- 搭建可视化界面
- 数据备份
- 本地文件上传到云服务器
- 其他场景相关操作
- 云服务器通过内网访问对象存储
- 启动模式 Legacy BIOS 和 UEFI 最佳实践
- Linux 实例数据恢复
- Windows 实例磁盘空间管理
- Linux 实例手动更换内核
- 云服务器搭建 Windows 系统 AD 域
- 网络性能测试
- 高吞吐网络性能测试
- Linux 系统使用 USB/IP 远程共享 USB 设备
- Windows 系统使用 RemoteFx 重定向 USB 设备
- 在 CVM 上通过 AVX512 加速人工智能应用
- 构建 Tencent SGX 机密计算环境
- M6p 实例配置持久内存
- 使用 Python 调用云 API 实现批量共享自定义镜像
- 运维指南
- 故障处理
- 实例相关故障
- 无法登录云服务器问题处理思路
- Windows 实例登录相关问题
- Linux 实例登录相关问题
- 无法登录 Linux 实例
- Linux 实例:无法通过 SSH 方式登录
- Linux 实例:CPU 或内存占用率高导致登录卡顿
- Linux 实例:端口问题导致无法登录
- Linux 实例:VNC 登录报错 Module is unknown
- Linux 实例:VNC 登录报错 Account locked due to XXX failed logins
- Linux 实例:VNC 登录输入正确密码后无响应
- Linux 实例:VNC 或 SSH 登录报错 Permission denied
- Linux 实例:/etc/fstab 配置错误导致无法登录
- Linux 实例:sshd 配置文件权限问题
- Linux 实例:/etc/profile 死循环调用问题
- 服务器被隔离导致无法登录
- 带宽占用高导致无法登录
- 安全组设置导致无法远程连接
- Linux 实例使用 VNC 及救援模式排障
- 关机和重启云服务器失败
- 无法创建 Network Namespace
- 内核及 IO 相关问题
- 系统 bin 或 lib 软链接缺失
- 云服务器疑似被病毒入侵问题
- 创建文件报错 no space left on device
- Linux 实例内存相关故障
- 网络相关故障
- 实例相关故障
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Region APIs
- Instance APIs
- DescribeInstances
- DescribeInstanceFamilyConfigs
- DescribeZoneInstanceConfigInfos
- DescribeInstanceTypeConfigs
- DescribeInstancesOperationLimit
- DescribeInstanceVncUrl
- InquiryPriceRunInstances
- InquiryPriceResetInstance
- InquiryPriceResetInstancesType
- InquiryPriceResizeInstanceDisks
- RunInstances
- StartInstances
- RebootInstances
- StopInstances
- ResetInstance
- TerminateInstances
- ResetInstancesType
- ResizeInstanceDisks
- ResetInstancesPassword
- ModifyInstancesAttribute
- ModifyInstancesProject
- InquirePricePurchaseReservedInstancesOffering
- DescribeReservedInstancesConfigInfos
- DescribeInstancesStatus
- PurchaseReservedInstancesOffering
- Cloud Hosting Cluster APIs
- Placement Group APIs
- Image APIs
- Key APIs
- Security Group APIs
- Network APIs
- Instance Launch Template APIs
- Data Types
- Error Codes
- 常见问题
- 相关协议
- 词汇表
操作场景
本文介绍如何在 M6ce 实例中构建 Tencent SGX 机密计算环境,并演示如何使用 intel SGXSDK 验证 SGX 功能。
前提条件
如何创建实例,请参见 通过购买页创建实例。
如何登录实例,请参见 使用标准登录方式登录 Linux 实例(推荐)。
说明:
本文步骤以使用操作系统为 TencentOS Server 3.1(TK4) 的实例为例,不同操作系统版本步骤有一定区别,请结合实际情况进行操作。
操作步骤
1. 执行以下命令,检查 kernel 版本。
uname -a
查看 kernel 版本是否低于5.4.119-19.0008:
是,请执行以下命令更新 kernel。
yum update kernel
否,则请执行下一步。
2. 执行以下命令,安装 SGX runtime 所需的软件包。
yum install \\libsgx-ae-le libsgx-ae-pce libsgx-ae-qe3 libsgx-ae-qve \\libsgx-aesm-ecdsa-plugin libsgx-aesm-launch-plugin libsgx-aesm-pce-plugin libsgx-aesm-quote-ex-plugin \\libsgx-dcap-default-qpl libsgx-dcap-default-qpl-devel libsgx-dcap-ql libsgx-dcap-ql-devel \\libsgx-dcap-quote-verify libsgx-dcap-quote-verify-devel libsgx-enclave-common libsgx-enclave-common-devel libsgx-epid-devel \\libsgx-launch libsgx-launch-devel libsgx-pce-logic libsgx-qe3-logic libsgx-quote-ex libsgx-quote-ex-devel \\libsgx-ra-network libsgx-ra-uefi libsgx-uae-service libsgx-urts sgx-ra-service \\sgx-aesm-service
说明:
SGX AESM 服务的默认安装目录为
/opt/intel/sgx-aesm-service。3. 执行以下命令,安装 intel SGXSDK。
yum install sgx-linux-x64-sdk
说明:
4. SGX runtime 和 intel SGXSDK 安装完成后,请重启实例。详情请参见 重启实例。
5. 配置腾讯云 SGX 远程证明服务。
腾讯云 SGX 远程证明服务采用区域化部署,您可以访问 SGX 云服务器实例所在地域的腾讯云 SGX 远程证明服务来获得最佳体验。安装 intel SGXSDK 后会自动生成远程证明服务的默认配置文件
/etc/sgx_default_qcnl.conf,请根据以下步骤手动修改该文件,以适配 SGX 云服务器实例所在地域的腾讯云 SGX 远程证明服务。说明:
目前仅北京、上海及广州地域支持腾讯云 SGX 远程证明服务。
Intel Ice Lake 仅支持基于 Intel SGX DCAP 远程证明方式,不支持 Intel EPID 远程证明方式。
使用 VIM 编辑器,将
/etc/sgx_default_qcnl.conf 修改为如下内容:# PCCS server addressPCCS_URL=https://sgx-dcap-server-tc.[Region-ID].tencent.cn/sgx/certification/v3/# To accept insecure HTTPS cert, set this option to FALSEUSE_SECURE_CERT=TRUE
请将
[Region-ID] 替换为 SGX 云服务器实例所在地域的 ID。例如:
北京地域修改示例如下:# PCCS server addressPCCS_URL=https://sgx-dcap-server-tc.bj.tencent.cn/sgx/certification/v3/# To accept insecure HTTPS cert, set this option to FALSEUSE_SECURE_CERT=TRUE
上海地域修改示例如下:
# PCCS server addressPCCS_URL=https://sgx-dcap-server-tc.sh.tencent.cn/sgx/certification/v3/# To accept insecure HTTPS cert, set this option to FALSEUSE_SECURE_CERT=TRUE
广州地域修改示例如下:
# PCCS server addressPCCS_URL=https://sgx-dcap-server-tc.gz.tencent.cn/sgx/certification/v3/# To accept insecure HTTPS cert, set this option to FALSEUSE_SECURE_CERT=TRUE
验证 SGX 功能示例
示例1:启动 Enclave
Intel SGXSDK 中提供了 SGX 示例代码用于验证 SGX 功能,默认目录为
/opt/intel/sgxsdk/SampleCode。本示例中的代码(SampleEnclave)效果为启动一个 Enclave,以验证是否正常使用安装的 SGXSDK,以及 SGX 云服务器实例的机密内存资源是否可用。1. 执行以下命令,设置 intel SGXSDK 相关的环境变量。
source /opt/intel/sgxsdk/environment
2. 执行以下命令,编译示例代码 SampleEnclave。
cd /opt/intel/sgxsdk/SampleCode/SampleEnclave && make
3. 执行以下命令,运行编译出的可执行文件。
./app
返回如下图所示结果,则说明已启动成功。
示例2:SGX 远程证明
Intel sgx 的 code tree 提供了示例代码用于验证 SGX 远程证明功能(DCAP)。本示例为生成和验证 Quote,示例涉及 Quote 生成方(QuoteGenerationSample)和 Quote 验证方(QuoteVerificationSample)。
1. 执行以下命令,设置 intel SGXSDK 相关的环境变量。
source /opt/intel/sgxsdk/environment
2. 依次执行以下命令,安装 git 并下载 intel sgx DCAP code tree。
cd /root && yum install git
git clone https://github.com/intel/SGXDataCenterAttestationPrimitives.git
3. 依次执行以下命令,编译并运行 Quote 生成方示例代码 QuoteGenerationSample。
3.1 进入 QuoteGenerationSample 目录。
cd /root/SGXDataCenterAttestationPrimitives/SampleCode/QuoteGenerationSample
3.2 编译 QuoteGenerationSample。
make
3.3 运行 QuoteGenerationSample 并生成 Quote。
./app
4. 执行以下命令,编译 Quote 验证方示例代码 QuoteVerificationSample。
cd /root/SGXDataCenterAttestationPrimitives/SampleCode/QuoteVerificationSample && make
5. 执行以下命令,对 QuoteVerificationSample Enclave 进行签名。
sgx_sign sign -key Enclave/Enclave_private_sample.pem -enclave enclave.so -out enclave.signed.so -config Enclave/Enclave.config.xml
6. 执行以下命令,运行 QuoteVerificationSample 以验证 Quote。
./app
返回如下图所示结果,则说明已验证成功。
是
否
本页内容是否解决了您的问题?