'%20fill='%23C31D20'%20fill-rule='nonzero'%3e%3cpath%20d='M7.55269822,13.7609409%20C10.8552199,9.97176134%2014.2271223,7.63452926%2017.1034483,6.5677512%20L17.0816429,0.884990191%20C17.0593112,0.508963963%2016.8188535,0.182653682%2016.4703158,0.055395956%20C16.1217781,-0.0718617705%2015.7322263,0.0244201241%2015.4799397,0.300178022%20L12.9584465,3.07097775%20L0.368821458,17.4916392%20C0.0232151224,17.8857306%20-0.0894678188,18.437454%200.0732192079,18.9389805%20C0.235906234,19.4405071%200.649247199,19.815643%201.15754056,19.9230783%20C1.66583392,20.0305135%202.19185783,19.853926%202.53746417,19.4598346%20L7.5467513,13.7690073%20L7.55269822,13.7609409%20Z'%20id='路径'%3e%3c/path%3e%3cpath%20d='M10.6896552,12.0927463%20L15.1004089,17.5535201%20C15.4511303,17.8402432%2015.9409156,17.8973222%2016.3502521,17.6991755%20C16.7595885,17.5010287%2017.0117165,17.0848129%2016.993637,16.6370685%20L17.1034483,10.0202479%20C14.5615201,9.75868982%2012.477139,10.7130773%2010.6896552,12.0927463%20Z'%20id='路径'%3e%3c/path%3e%3c/g%3e%3crect%20id='矩形'%20x='0'%20y='0'%20width='24'%20height='24'%3e%3c/rect%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
使用约束
免责声明
- 本文档可能包含第三方信息、产品、服务、软件、组件、数据或内容(统称“第三方内容”)。华为不控制且不对第三方内容承担任何责任,包括但不限于准确性、兼容性、可靠性、可用性、合法性、适当性、性能、不侵权、更新状态等,除非本文档另有明确说明。在本文档中提及或引用任何第三方内容不代表华为对第三方内容的认可或保证。
- 用户若需要第三方许可,须通过合法途径获取第三方许可,除非本文档另有明确说明。
AI-Vault使用约束
- 仅支持Ubuntu 18.04.1、Ubuntu 18.04.5、Ubuntu 20.04、KylinOS V10操作系统及CentOS 8.2操作系统,x86_64和aarch64架构均支持。
- 运行环境需要安装开源OpenSSL工具,且版本大于等于3.0.7。
- 工具运行环境时间需要校准到正确的UTC时间。
- 用户访问AI-Vault时,需要提供相关的header信息。
- AI-Vault对外通信使用TLS通信,因此需要ISV有证书签发系统或者使用符合用户安全要求的证书签发机构,进行证书的签发。
- 文档中提供AI-Vault相关的证书配置方法,其他证书请自行准备。
- 本文档中提及的软件和版本均为最低要求, 非推荐使用版本,用户需要按照所在组织安全要求选择需要使用的操作系统,服务,软件和版本。建议用户及时合入安全补丁或升级至最新版本。
- 根目录的磁盘空间利用率高于85%会触发K8s的资源驱逐机制,将导致服务不可用。请确保根目录有足够的磁盘空间,具体驱逐策略请查看Kubernetes官方文档。
- AI-Vault服务以非root权限运行。
- 同一用户不应同时运行多个AI-Vault实例。
- 请确保所有物理机(管理节点、计算节点)和容器内,用户(AI-VAULT)的uid和gid满足以下条件且没有被占用,如果被占用可能会导致服务不可用。
- AI-Vault的uid和gid一致。
- 容器内运行AI-Vault的uid与物理机创建的AI-VAULT用户的uid保持一致,本文以“9001”为例,用户可自定义修改。
- Kubernetes默认的证书有效期为365天,请用户及时关注进行更新。
- ARM架构和x86架构使用的AI-Vault镜像不能相互兼容。
- AI-Vault备份数据库的磁盘空间需大于10M。
AI-Guard使用约束
- 加密工具仅支持Ubuntu 18.04.1、Ubuntu 18.04.5、Ubuntu 20.04、KylinOS V10操作系统,x86_64和aarch64架构均支持。
- 运行环境需要安装开源OpenSSL工具,且版本大于等于3.0.7。
- 以root用户安装AI-Guard,普通用户请使用AI-Guard命令行工具,防止工具被篡改且使用时请保证当前激活的Python和root安装AI-Guard的Python路径一致。
- Python最低支持版本为3.7,安装过程声明了相关的三方库依赖,并验证了最低兼容版本,后续使用如果三方库升级导致不兼容可单独降级安装指定版本三方包。本文档中提及的所有软件和服务均为最低支持版本,非推荐使用版本,请用户选择符合所在组织安全要求的Python,操作系统,服务和相关三方依赖库及其版本。
- AI-Guard服务以非root权限运行。
- 建议用户升级内核版本至最新版本,避免存在漏洞问题。
- AI-Guard加密单个文件限制10G以下,若是加密文件夹,文件夹内单文件大小不能超过10G。
KMSAgent使用约束
- 驱动版本由Ascend HDK 22.0.RC5版本升级至高版本时需重新配置“KMSAgent.conf”配置文件、证书,并重启服务。
- 请确保已安装包含KMSAgent的驱动,安装完成后,可以使用KMSAgent服务。
- 运行环境需要安装开源OpenSSL工具且版本大于等于3.0.7。
- 如果用户之前已经完成了KMSAgent配置,升级驱动后可以跳过本章节。
- KMSAgent首次安装时需要配置,后续升级时升级驱动即可。 用户应以非root权限运行。
- 若推理容器运行用户必须为root用户,则驱动安装时请使用--install-for-all参数,且安装后所有用户拥有权限,此参数存在使用安全风险,详细内容请参见驱动与固件安装指导。
- KMSAgent相关参数请参见KMSAGENT相关参数解释。
Crypto-FS使用约束
- Crypto-FS可在容器中使用,在容器中的安装、卸载与升级需要以容器内运行的用户完成。
- 容器中使用Crypto-FS,需解压过后通过打包镜像文件方式将“Crypto_fs”文件夹打包进入容器,并配置环境变量。
- 运行环境需要安装开源OpenSSL工具,且版本大于等于3.0.7。
- 使用时需修改用户权限为容器运行用户属主。
- 配置环境变量时,用户需要确认“LD_LIBRARY_PATH”目录下所有so动态库文件均为当前用户或者root所有,且权限符合用户所在组织的安全要求。
- 以安装用户进行Crypto-FS的卸载与升级。
- 仅支持Ubuntu 18.04.1、Ubuntu 18.04.5、Ubuntu 20.04、KylinOS V10操作系统及CentOS 8.2操作系统,x86_64和aarch64架构均支持。
- 在“Crypto_fs”目录执行遍历文件操作时,过多的文件或目录会导致整个操作过程占用较大的内存。如ls命令,目录下文件或目录数量与占用内存关系约为100万/400MB。
- 单次Crypto-FS运行时,最大能同时操作1024个文件句柄,例如打开或创建文件。
