什么是可信計算

可信計算是實現云租戶計算環境高級安全的重要功能之一。通過在虛擬化層面上使用可信虛擬化技術（vTPM）作為可信根，構建從系統啟動到用戶指定應用的信任鏈，并實現遠程證明機制，從而為用戶提供從啟動階段到運行階段的全方位可信保障。在系統和應用中加入可信驗證，可以顯著降低因使用未知或被篡改的系統/軟件而遭受攻擊的風險。

說明
當前僅對部分用戶開放試用可信云主機功能，如您需要體驗，請聯系客戶經理。

支持可信系統的實例規格

• 通用計算增強型c8e
• 內存優化型m8e

說明
當前僅在華東1資源池-可用區2支持可信云主機。

操作限制

開啟可信系統的云主機的操作限制如下：

1. 可信云主機僅支持使用密鑰對登陸方式。
2. 可信云主機不支持熱變配。
3. 可信云主機不支持進行克隆。
4. 不支持通過云主機備份創建可信云主機。

創建可信云主機

在控制臺創建可信實例的步驟與創建普通實例類似，但需要注意一些特定選項。本步驟重點介紹可信實例相關的特定配置，如果您想了解其他通用配置，請參見：創建彈性云主機。

1. 登錄天翼云。
2. 單擊管理控制臺左上角的，選擇區域，此處我們選擇華東1。
3. 點擊計算-彈性云主機進入云主機控制臺。單擊右上角創建云主機進入云主機購買頁面。
4. 在“基礎配置”頁規格列表部分，選擇一款支持開啟可信系統的實例規格。支持可信系統的實例規格請參見本文“支持可惜系統的實例規格”部分。
5. 在在“基礎配置”頁鏡像部分，勾選“可信系統”復選框，此時會展示支持可信系統的鏡像，選擇您需要的鏡像。
6. 在“高級配置”頁登錄方式部分，選擇“密鑰對”。
7. 按照頁面提示，完成實例的創建。

使用可信云主機

查看實例可信信息

1. 登錄彈性云主機控制臺。

2. 在云主機列表中，若“鏡像名稱”列的可信圖標為綠色，則說明該云主機已開啟可信系統；若“鏡像名稱”列的可信圖標為灰色，則說明該云主機未開啟可信系統。

3. 點擊已開啟可信系統的云主機的實例ID，進入云主機詳情頁。在詳情頁主機信息部分，通過“可信實例”字段也可以查看云主機可信系統開啟情況。

4. 在詳情頁中選擇“可信計算”頁簽，查看實例具體的可信信息。
   “資產啟動概況”區域中的圓圈代表PCR，每個PCR對應啟動過程中的一個特定環節。“資產啟動概況”區域中的圓圈與“資產中組件可信狀態”區域中的組件列表一一對應。圓圈的顏色代表了該環節是否正常：
   a. 如果圓圈全部是綠色，代表實例啟動過程是正常的。相應的，實際度量值（即，系統可信功能收集到的實際狀態）和標準值都一致。
    b. 如果啟動過程中某一環節出錯，則對應的圓圈會變為紅色，其后的圓圈變為灰色。您可以在“可信異常處理”部分查看并處理查看該環節的具體信息。

   PCR即平臺配置寄存器（Platform Configuration Register），是可信安全設備的存儲單元，能夠可靠地存儲啟動過程中收集的狀態信息。每個PCR對應啟動過程中的一個特定環節，PCR值表征各環節中度量對象的狀態。如果PCR中存儲的實際度量值與預期的標準值一致，則認為該環節符合預期。每個環節中度量的對象如下：

• pcr0：表征SRTM、BIOS、嵌入式可選ROM、PI驅動等。
• pcr1：表征主機平臺配置。
• pcr2：表征UEFI驅動、應用代碼。
• pcr3：表征UEFI驅動、應用配置、應用數據。
• pcr4：表征UEFI啟動管理代碼（通常是MBR）。
• pcr5：表征UEFI啟動管理代碼（通常是MBR）、啟動相關數據（由UEFI啟動管理代碼使用的數據）、GPT分區表。
• pcr6：表征平臺生產廠商定義的特定UEFI固件。
• pcr7：表征安全啟動策略。
• pcr8：表征在grub.cfg等配置文件中規定執行的關鍵命令（不會度量非關鍵命令，例如定義啟動菜單標題的命令），以及傳遞給Linux內核的命令行信息。
• pcr9：表征GRUB模塊、Linux內核和initramfs。

處理可信異常信息

如果啟動過程中某一環節出錯，則可信信息頁簽下“資產啟動概況”模塊中對應的圓圈會變為紅色，您需要前往“可信異常處理”模塊處理告警信息并修復異常狀態。

1. 在云主機詳情頁中選擇“可信計算”頁簽，前往“可信異常處理”模塊。本模塊展示啟動過程中出錯的環節信息，并可以對出錯環節進行“加入白名單”、“標記為已處理”操作。
2. “加入白名單”：點擊“操作”欄中“加入白名單”按鈕，即可完成加入白名單操作。

加入白名單即將安全告警中收集到的實際度量值，將轉化為新的標準值，未來對該組件收集到相同的完整性度量值時將不再報警。若您近期進行了系統升級或維護操作，可以在檢查修復后選擇加白名單。

3. “標記為已處理”：點擊“操作”欄中“標記為已處理”按鈕，即可完成標記為已處理操作。

標記為已處理即刪除/忽略掉該安全事件，當您使用非加白操作完成了安全事件的分析和處理時，可以使用該操作將事件制除。

說明
若您對云主機進行了變更配置操作，變配后開機pcr0會提示異常。這是由于pcr0會度量acpi?table，vCPU個數包含在其中，因此變配后會改變pcr0的實際度量值。您可通過“加入白名單”操作更新pcr0的標準度量值。