diff --git a/doc/confidential_container/figures/zh-cn_image_0000002091985857.png b/doc/confidential_container/figures/zh-cn_image_0000002091985857.png deleted file mode 100644 index 8e911a2a2374a98f5c60c66c093bcb9434be112f..0000000000000000000000000000000000000000 Binary files a/doc/confidential_container/figures/zh-cn_image_0000002091985857.png and /dev/null differ diff --git "a/doc/confidential_container/\345\256\271\345\231\250\351\225\234\345\203\217\345\272\246\351\207\217.md" "b/doc/confidential_container/\345\256\271\345\231\250\351\225\234\345\203\217\345\272\246\351\207\217.md" index e5f5f3358ecd11d1ad342063d385a1bb82d181e9..edc350ebb867d467a095c9750be006c16f2bcc49 100644 --- "a/doc/confidential_container/\345\256\271\345\231\250\351\225\234\345\203\217\345\272\246\351\207\217.md" +++ "b/doc/confidential_container/\345\256\271\345\231\250\351\225\234\345\203\217\345\272\246\351\207\217.md" @@ -10,11 +10,31 @@ ## 准备工作 -1. 执行以下命令进入“home“目录并下载secGear代码。 +1. 执行以下命令进入“home“目录,下载和编译secGear代码。 ``` cd /home - git clone --branch v1.0.0 https://gitee.com/openeuler/secGear.git + git clone https://gitee.com/src-openeuler/secGear.git -b openEuler-24.03-LTS-SP1 + ``` + + 生成 secGear 源码。 + ``` + cd secGear + rpmbuild -bp secGear.spec --define "_sourcedir $PWD" --nodeps + ``` + + 进入到源码目录并拉取对应的测试代码。 + ``` + cd /root/rpmbuild/BUILD/secGear + export secGear_test_dir=/root/rpmbuild/BUILD/secGear/service/attestation/attestation-agent/c_header + mkdir -p $secGear_test_dir + curl -o $secGear_test_dir/example.c https://gitee.com/openeuler/secGear/raw/v1.0.0/service/attestation/attestation-agent/c_header/example.c + curl -o $secGear_test_dir/rust_attestation_agent.h https://gitee.com/openeuler/secGear/raw/v1.0.0/service/attestation/attestation-agent/c_header/rust_attestation_agent.h + ``` + + 修改测试程序,启用获取ima度量报告。 + ``` + sed -i 's/\._1 = false/._1 = true/g' $secGear_test_dir/example.c ``` 2. 请参见[kata-shim编译和部署](机密容器部署运行.md#section425812386177)的[步骤2](机密容器部署运行.md#li363891994015)完成rust环境安装。 @@ -22,7 +42,7 @@ 4. 执行以下命令安装相关依赖。 ``` - yum install virtCCA_sdk-devel skopeo jq kunpengsecl-attester + yum install virtCCA_sdk-devel skopeo jq kunpengsecl-attester ocaml-dune ``` >![](public_sys-resources/icon-note.gif) **说明:** @@ -57,29 +77,12 @@ proxy=http://IP:PORT ``` -7. 修改测试程序,启用获取ima度量报告。 - - ``` - vim secGear/service/attestation/attestation-agent/c_header/example.c - ``` - - 启用ima参数初始化,将.\_1由**false**改为**true**。 - - ``` - Tuple2_bool_bool_t ima = { // define input ima = Some(true) - ._0 = true, - ._1 = true, // 默认false,修改为true启用获取ima报告 - }; - ``` - - ![](figures/zh-cn_image_0000002091985857.png) - ## 无证明服务 1. 执行以下命令编译libattestation\_agent.so。 ``` - cd secGear/service/attestation/attestation-agent + cd ~/rpmbuild/BUILD/secGear/service/attestation/attestation-agent cargo build --features no_as,virtcca-attester,virtcca-verifier --lib --release cp target/release/libattestation_agent.so /lib64/ ``` @@ -132,8 +135,8 @@ ``` cd /home/no_as - cp /home/secGear/service/attestation/attestation-agent/target/release/libattestation_agent.so . - cp /home/secGear/service/attestation/attestation-agent/c_header/aa-test . + cp ~/rpmbuild/BUILD/secGear/service/attestation/attestation-agent/target/release/libattestation_agent.so . + cp ~/rpmbuild/BUILD/secGear/service/attestation/attestation-agent/c_header/aa-test . cp /home/openEuler.repo . ``` @@ -230,7 +233,7 @@ 1. 编译libattestation\_agent.so。 ``` - cd /home/secGear/service/attestation/attestation-agent + cd ~/rpmbuild/BUILD/secGear/service/attestation/attestation-agent cargo build --features virtcca-attester --lib --release cp target/release/libattestation_agent.so /lib64/ ``` @@ -270,8 +273,8 @@ 5. 拷贝文件到镜像制作目录。 ``` - cp /home/secGear/service/attestation/attestation-agent/target/release/libattestation_agent.so . - cp /home/secGear/service/attestation/attestation-agent/c_header/aa-test . + cp ~/rpmbuild/BUILD/secGear/service/attestation/attestation-agent/target/release/libattestation_agent.so . + cp ~/rpmbuild/BUILD/secGear/service/attestation/attestation-agent/c_header/aa-test . cp /home/openEuler.repo . ``` @@ -307,7 +310,7 @@ 9. 编译attestation service。 ``` - cd /home/secGear/service/attestation/attestation-service + cd ~/rpmbuild/BUILD/secGear/service/attestation/attestation-service cargo build --release cp target/release/attestation-service /usr/bin ``` @@ -364,7 +367,7 @@ 14. 配置attestation-service默认策略。 ``` - cp /home/secGear/service/attestation/attestation-service/policy/src/opa/default_vcca.rego /etc/attestation/attestation-service/policy/ + cp ~/rpmbuild/BUILD/secGear/service/attestation/attestation-service/policy/src/opa/default_vcca.rego /etc/attestation/attestation-service/policy/ ``` 15. 配置ima基线文件digest\_list\_file。 diff --git "a/doc/confidential_container/\346\234\272\345\257\206\345\256\271\345\231\250\351\203\250\347\275\262\350\277\220\350\241\214.md" "b/doc/confidential_container/\346\234\272\345\257\206\345\256\271\345\231\250\351\203\250\347\275\262\350\277\220\350\241\214.md" index e70e417f913af24be9913d8edd7c1163d22604b3..039df6902f7908545c1f073e34528b2d9fa42bca 100644 --- "a/doc/confidential_container/\346\234\272\345\257\206\345\256\271\345\231\250\351\203\250\347\275\262\350\277\220\350\241\214.md" +++ "b/doc/confidential_container/\346\234\272\345\257\206\345\256\271\345\231\250\351\203\250\347\275\262\350\277\220\350\241\214.md" @@ -505,14 +505,15 @@ registry本地镜像仓负责存储容器镜像,响应kata-agent的镜像请 cd /home/work/guest-components git apply ../virtCCA_sdk/confidential_container/guest-components.patch ``` - >![](public_sys-resources/icon-note.gif) **说明:** - >(可选)仅在需要使用[容器镜像度量](容器镜像度量.md)时执行下述步骤: - >1. image-ima-measurement代码patch。 + >1. 当前版本的guest-components在拉取大镜像(>=8g)时会发生错误,用户可合入当前社区pr修复该问题:https://github.com/confidential-containers/guest-components/pull/602 + (注意,拉取大镜像需要同步修改kata配置文件,增大虚机内存配置,对应`/etc/kata-containers/configuration.toml`的`default_memory`选项。) + >2. (可选)仅在需要使用[容器镜像度量](容器镜像度量.md)时执行下述步骤: + >a. image-ima-measurement代码patch。 > ``` > git apply ../virtCCA_sdk/confidential_container/image-ima-measurement.patch > ``` - >2. 重新编译kata-agent并部署到rootfs。 + >b. 重新编译kata-agent并部署到rootfs。 3. 应用kbs-types代码patch。