什么是可信计算

可信计算是实现云租户计算环境高级安全的重要功能之一。通过在虚拟化层面上使用可信虚拟化技术（vTPM）作为可信根，构建从系统启动到用户指定应用的信任链，并实现远程证明机制，从而为用户提供从启动阶段到运行阶段的全方位可信保障。在系统和应用中加入可信验证，可以显著降低因使用未知或被篡改的系统/软件而遭受攻击的风险。

说明
当前仅对部分用户开放试用可信云主机功能，如您需要体验，请联系客户经理。

支持可信系统的实例规格

• 通用计算增强型c8e
• 内存优化型m8e

说明
当前仅在华东1资源池-可用区2支持可信云主机。

操作限制

开启可信系统的云主机的操作限制如下：

1. 可信云主机仅支持使用密钥对登陆方式。
2. 可信云主机不支持热变配。
3. 可信云主机不支持进行克隆。
4. 不支持通过云主机备份创建可信云主机。

创建可信云主机

在控制台创建可信实例的步骤与创建普通实例类似，但需要注意一些特定选项。本步骤重点介绍可信实例相关的特定配置，如果您想了解其他通用配置，请参见：创建弹性云主机。

1. 登录天翼云控制中心。
2. 单击管理控制台左上角的，选择区域，此处我们选择华东1。
3. 点击计算-弹性云主机进入云主机控制台。单击右上角创建云主机进入云主机购买页面。
4. 在“基础配置”页规格列表部分，选择一款支持开启可信系统的实例规格。支持可信系统的实例规格请参见本文“支持可惜系统的实例规格”部分。
5. 在在“基础配置”页镜像部分，勾选“可信系统”复选框，此时会展示支持可信系统的镜像，选择您需要的镜像。
6. 在“高级配置”页登录方式部分，选择“密钥对”。
7. 按照页面提示，完成实例的创建。

使用可信云主机

查看实例可信信息

1. 登录弹性云主机控制台。

2. 在云主机列表中，若“镜像名称”列的可信图标为绿色，则说明该云主机已开启可信系统；若“镜像名称”列的可信图标为灰色，则说明该云主机未开启可信系统。

3. 点击已开启可信系统的云主机的实例ID，进入云主机详情页。在详情页主机信息部分，通过“可信实例”字段也可以查看云主机可信系统开启情况。

4. 在详情页中选择“可信计算”页签，查看实例具体的可信信息。
   “资产启动概况”区域中的圆圈代表PCR，每个PCR对应启动过程中的一个特定环节。“资产启动概况”区域中的圆圈与“资产中组件可信状态”区域中的组件列表一一对应。圆圈的颜色代表了该环节是否正常：
   a. 如果圆圈全部是绿色，代表实例启动过程是正常的。相应的，实际度量值（即，系统可信功能收集到的实际状态）和标准值都一致。
   b. 如果启动过程中某一环节出错，则对应的圆圈会变为红色，其后的圆圈变为灰色。您可以在“可信异常处理”部分查看并处理查看该环节的具体信息。

   PCR即平台配置寄存器（Platform Configuration Register），是可信安全设备的存储单元，能够可靠地存储启动过程中收集的状态信息。每个PCR对应启动过程中的一个特定环节，PCR值表征各环节中度量对象的状态。如果PCR中存储的实际度量值与预期的标准值一致，则认为该环节符合预期。每个环节中度量的对象如下：

• pcr0：表征SRTM、BIOS、嵌入式可选ROM、PI驱动等。
• pcr1：表征主机平台配置。
• pcr2：表征UEFI驱动、应用代码。
• pcr3：表征UEFI驱动、应用配置、应用数据。
• pcr4：表征UEFI启动管理代码（通常是MBR）。
• pcr5：表征UEFI启动管理代码（通常是MBR）、启动相关数据（由UEFI启动管理代码使用的数据）、GPT分区表。
• pcr6：表征平台生产厂商定义的特定UEFI固件。
• pcr7：表征安全启动策略。
• pcr8：表征在grub.cfg等配置文件中规定执行的关键命令（不会度量非关键命令，例如定义启动菜单标题的命令），以及传递给Linux内核的命令行信息。
• pcr9：表征GRUB模块、Linux内核和initramfs。

处理可信异常信息

如果启动过程中某一环节出错，则可信信息页签下“资产启动概况”模块中对应的圆圈会变为红色，您需要前往“可信异常处理”模块处理告警信息并修复异常状态。

1. 在云主机详情页中选择“可信计算”页签，前往“可信异常处理”模块。本模块展示启动过程中出错的环节信息，并可以对出错环节进行“加入白名单”、“标记为已处理”操作。
2. “加入白名单”：点击“操作”栏中“加入白名单”按钮，即可完成加入白名单操作。

加入白名单即将安全告警中收集到的实际度量值，将转化为新的标准值，未来对该组件收集到相同的完整性度量值时将不再报警。若您近期进行了系统升级或维护操作，可以在检查修复后选择加白名单。

3. “标记为已处理”：点击“操作”栏中“标记为已处理”按钮，即可完成标记为已处理操作。

标记为已处理即删除/忽略掉该安全事件，当您使用非加白操作完成了安全事件的分析和处理时，可以使用该操作将事件制除。

说明
若您对云主机进行了变更配置操作，变配后开机pcr0会提示异常。这是由于pcr0会度量acpi table，vCPU个数包含在其中，因此变配后会改变pcr0的实际度量值。您可通过“加入白名单”操作更新pcr0的标准度量值。