云服务器ECS：弹性裸金属服务器下

　　导读：云服务器ECS实例之弹性裸金属服务器下 咨询热线 4006-333-292

　　本文介绍弹性裸金属服务器高主频型ebmhfg5、计算型ebmc4和通用型ebmg5的特点，并列出了具体的实例规格。

　　您可以按照 创建ECS实例 的描述创建弹性裸金属服务器。(单击创建)

　　在选择配置时，您需要注意以下几点：

　　· 地域：目前只能选择 华东2可用区D、华北2可用区C、华东1可用区G、华南1可用区D。

　　· 实例：可以选择ebmhfg5、ebmc4和ebmg5。规格族的详细信息，请参见 实例规格族。

　　· 镜像：只支持部分公共镜像，如下表所示。

　　操作系统类别镜像

　　Linux· CentOS 7.2/7.3/7.4/6.9/6.8 64位

　　· Ubuntu 14.04/16.04 64位

　　· Debian 8.9/9.2 64位

　　· OpenSUE 42.3 64位

　　· SUSE Linux Enterprise Server 12 SP2 64位

　　· Aliyun Linux 17.1 64位

　　Windows· 2016 数据中心版 64 位中文版

　　· 2016 数据中心版 64 位英文版

　　· 2012 R2 数据中心版 64 位中文版

　　· 2012 R2 数据中心版 64 位英文版

　　·

　　· 存储：弹性裸金属服务器支持最多挂载16块数据盘。您可以在这里添加数据盘，也可以在实例创建成功后再 单独创建 并 挂载数据盘。

　　· 网络：仅支持专有网络VPC。

　　原理

　　英特尔 SGX(Intel Software Guard Extension)是英特尔指令集架构的一个扩展。SGX 为您提供了围圈(Enclave)，即内存中一个加密的可信执行区域，由 CPU 保护您的数据和隐私不被恶意代码窃取。

　　SGX 利用新增的处理器指令，在内存中分配一部分区域 EPC(Enclave Page Cache)，通过 CPU 内的加密引擎 MEE(Memory Encryption Engine)对其中的数据进行加密。EPC 中加密的内容只有进入 CPU 后才会被解密成明文。因此，在 SGX 中，您可以不信任操作系统、VMM、甚至 BIOS，只需要信任 CPU 便能确保隐私数据不会泄漏。

　　应用

　　实际应用中，您可以把隐私数据加密后以密文形式传递至云上的围圈中，并通过远程证明把对应的秘钥也传入围圈。然后在 CPU 的加密保护下利用数据进行运算，结果会以密文形式返回给您。这种模式下，您既可以利用云计算强大的计算力，又不用担心数据泄漏。

　　EDL(Enclave Definition Language)

　　EDL 是 SGX 编程的核心，其中定义了所有围圈里对外读写、处理数据的函数。在编译阶段，SDK 提供的 Edger8r 工具会根据 EDL 中定义的函数生成围圈和普通内存的桥接函数，并做相应的安全检测。

　　函数分为信任函数(ecall)和不可信函数(ocall)：

　　· ecall：定义在信任区域(trusted)，在围圈外被调用，并在围圈内执行。

　　· ocall：定义在不可信区域(untrusted)，在围圈内被调用，并在围圈外执行。

　　试用

　　// demo.edl

　　enclave {

　　// Add your definition of "secret_t" here

　　trusted {

　　public void get_secret([out] secret_t* secret);

　　};

　　untrusted {

　　// This OCALL is for illustration purposes only.

　　// It should not be used in a real enclave,

　　// unless it is during the development phase

　　// for debugging purposes.

　　void dump_secret([in] const secret_t* secret);

　　};

　　};

　　以安装文件方式安装 SGX

　　需要先安装对应 Linux 内核版本的头文件，安装 SGX 时包括驱动、PSW、SDK 等组件。

　　说明 样例中的 Makefile 默认安装目录是 /opt/intel/。

　　1. 下载 适用 SGX 版本的安装文件。

　　2. 按照 安装指南 的步骤进行安装。

　　以源代码方式安装 SGX

　　需要先安装对应 Linux 内核版本的头文件，安装 SGX 时包括驱动、PSW、SDK 等组件。

　　说明 样例中的 Makefile 默认安装目录是 /opt/intel/。

　　1. 从 官方 Github 下载源代码。

　　2. 按 README.md 所述流程编译源代码。

　　【阿里云，阿里巴巴集团旗下云计算品牌，全球卓越的云计算技术和服务提供商。海商(www.hishop.com.cn)作为阿里云湖南唯一授权服务中心，国内知名商城系统及商城网站建设提供商，专为企业提供专业完善电商整体解决方案、微商云、视频云、医疗云等，咨询阿里云服务器详情可电联：18684778716(微信同号)】