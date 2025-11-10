人工智能 IT 自动化

保护正在使用的数据：为 Red Hat OpenShift 和 Kubernetes on IBM Cloud 提供机密计算

机密计算通过将工作负载隔离在基于硬件的可信执行环境 (TEE) 中，在处理过程中保护数据，确保即使是云运营商也无法访问这些数据。

出版 10 十一月 2025
人与连接到安全图标和网格平台的屏幕进行互动的插图

IBM 宣布在 IBM Cloud 上推出 Red Hat OpenShift 沙盒容器的科技预览版，为 Kubernetes 和 Red Hat OpenShift on IBM Cloud 提供这些额外的保护措施。

企业可以通过此功能在容器化环境中启用机密容器，利用使用中数据的技术保障，更安全地运行敏感或受监管的工作负载。

为什么这对企业很重要

随着混合云和多云普及速度的加快，静态数据和传输中数据的保护已得到充分发展。但下一个前沿领域是保护使用中的数据。机密容器将工作负载隔离在可信执行环境 (TEE) 中，确保即使是特权基础设施或平台管理员也无法观测或篡改正在运行的容器工作负载。

对于大型企业和云基础设施工程师而言，这意味着可以：

  • 敏感工作负载：使用更强的隔离保障运行敏感工作负载，例如 AI/ML 模型推理、财务处理、受监管的数据处理。
  • 职责分离：遵循零信任和职责分离原则，云或平台运营商无法在运行时“窥视”您的容器内部。
  • 提高安全性：以尽量减少中断的方式利用现有容器 (Kubernetes) 工具，同时添加基于硬件的安全边界。

此外，借助 Red Hat OpenShift 沙盒容器功能，可以：

  • 不可信的工作负载：更安全地运行需要提升内核功能或根权限的特权或不可信的工作负载，而不会危及集群节点的安全。
  • 内核隔离：实现内核隔离，以适应需要自定义内核调优、模块或底层网络功能的工作负载。
  • 多租户环境：通过隔离来自不同组织或供应商的工作量来支持多租户环境，避免“嘈杂的邻居”配置冲突。
  • 资源控制：通过虚拟机边界实施资源控制，确保对 CPU、内存、存储空间和网络进行更细粒度的访问控制。

技术预览中包含的内容

在 IBM Cloud 的这个初始预览版本中，机密容器是通过与 IBM Cloud 集成的 Red Hat OpenShift 沙盒容器功能实现的。

主要功能包括：

  • 硬件支持的隔离：与 Intel Trusted Domain Extensions (TDX) 结合使用，可保护容器内存和状态免受任何外部观测者（包括虚拟机管理程序或主机管理员）的影响。
  • 加密合约、策略和认证机制：验证运行时的完整性和合规性。
  • 与 Red Hat OpenShift 堆栈无缝整合：开发人员和操作人员能够使用熟悉的工作流程部署到机密 Pod 中。
  • 支持对监管和合规性敏感的用例：支持具备知识产权保护和多租户隔离的 AI/ML 管道。
  • 特权工作负载隔离：在轻量级虚拟机内安全地运行需要特殊内核功能或根权限的工作负载。
  • 内核级自定义：支持需要自定义内核调优或模块的工作负载，而不会影响其他集群工作负载。
  • 默认资源隔离：虚拟机边界可防止异常工作负载 消耗过多资源或访问未授权设备。

开始之前应了解的内容

该版本为技术预览版，因此在区域支持、扩展或功能完整性方面可能存在限制。此外，需要与现有的 CI/CD、Container Registry、认证服务和身份系统进行整合，才能充分发挥保密功能的优势。

与标准容器相比，启动性能开销会有一些增加，但同时也提供了更强的保护边界和新的性能分段层。

IBM 不对机密容器收取额外费用：标准的 Red Hat OpenShift on IBM Cloud 和 IBM Cloud Virtual Server 实例费率适用于每个机密 Pod。您可以构建自己的机密虚拟机 (CVM) 映像，但 IBM 不支持定制映像。对于生产认证，请使用具有适当网络权限的 Intel Trust Authority。

加入机密云之旅

在 IBM Cloud 上使用 Red Hat OpenShift 沙盒容器只是开始。通过试用此技术预览版，企业可以帮助塑造容器化工作负载的机密计算的未来，从而影响对于类似企业最重要的功能、集成和性能优化。

通过 3 个简单步骤立即开始：

  1. 在 IBM Cloud 上的 Red Hat OpenShift 环境中，在 Red Hat OperatorHub 中的沙盒容器 Operator 上部署一个示例机密工作负载。
  2. 深入了解部署、认证和隔离工作流程，以验证 IBM 机密容器文档支持的运行时完整性。
  3. 与 IBM Cloud 团队分享您的反馈和想法，以指导下一阶段的开发。

这一预览版不仅仅是一个新功能；更是迈向内置云信任、端到端且不受基础设施边界限制的未来的重要一步。

通过将机密计算保护扩展到运行时，我们为全新的应用程序类别、协作模式以及曾经被认为不适合云的环境中的创新打开了大门。未来的道路是，无论多么关键的工作负载，都可以在任何地点安全运行，而这一技术预览版就是对未来的一次早期展望。

我们携手共建一个云，让每个工作负载无论在哪里部署，都能在绝对可信的环境下运行。

开始在 IBM Cloud 上使用 Red Hat OpenShift 沙盒容器

Setu Biswas

Product Manager - IBM Cloud Developer Experience

Lizbeth Ramirez Letechipia

Cloud Product Marketing Manager

IBM

了解更多 深入了解 IBM Cloud 上的 Red Hat OpenShift 沙盒容器