Az Azure Kubernetes Service (AKS) megbízható indítása

A megbízható indítás javítja a 2. generációs virtuális gépek (VM-ek) biztonságát a fejlett és állandó támadási technikák elleni védelemmel. Lehetővé teszi a rendszergazdák számára az alapul szolgáló virtuális gépeket tartalmazó AKS-csomópontok üzembe helyezését ellenőrzött és aláírt rendszerindítókkal, operációsrendszer-kernelekkel és illesztőprogramokkal. A biztonságos és mért rendszerindítás használatával a rendszergazdák betekintést nyerhetnek a teljes rendszerindítási lánc integritásába.

Ez a cikk segít megérteni ezt az új funkciót, és annak implementálását.

Áttekintés

A megbízható indítás több, egymástól függetlenül engedélyezhető, koordinált infrastruktúra-technológiából áll. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen.

• vTPM – A megbízható indítás egy hardveres megbízható platformmodul (TPM) virtualizált verzióját mutatja be, amely megfelel a TPM 2.0 specifikációjának. Dedikált biztonságos tárolóként szolgál kulcsokhoz és mérésekhez. A megbízható indítás saját dedikált TPM-példányt biztosít a virtuális gép számára, amely biztonságos környezetben fut bármely virtuális gép elérésén kívül. A vTPM a virtuális gép teljes rendszerindítási láncának (UEFI, operációs rendszer, rendszer és illesztőprogramok) mérésével teszi lehetővé az igazolást . A megbízható indítás a vTPM használatával végzi el a távoli igazolást a felhőben. A platformállapot-ellenőrzésekhez és a megbízhatóságon alapuló döntések meghozatalához használatos. Állapot-ellenőrzésként a megbízható indítás képes kriptográfiailag igazolni, hogy a virtuális gép megfelelően indult el. Ha a folyamat meghiúsul, esetleg azért, mert a virtuális gép jogosulatlan összetevőt futtat, Felhőhöz készült Microsoft Defender integritási riasztásokat ad ki. A riasztások tartalmazzák azokat a részleteket, amelyek alapján az összetevők nem sikerültek az integritás-ellenőrzéseknek.

• Biztonságos rendszerindítás – A megbízható indítás gyökere a virtuális gép biztonságos rendszerindítása. Ez a platform belső vezérlőprogramjában implementált mód védelmet nyújt a kártevőalapú rootkitek és rendszerindító készletek telepítésével szemben. A biztonságos rendszerindítással biztosítható, hogy csak aláírt operációs rendszerek és illesztőprogramok indulhassanak el. Létrehozza a virtuális gép szoftververemének "megbízhatósági gyökerét". Ha engedélyezve van a biztonságos rendszerindítás, minden operációsrendszer-rendszerindítási összetevőt (rendszertöltő, kernel- és kernelillesztő) megbízható közzétevőknek kell aláírnia. A Windows és a linuxos disztribúciók egyaránt támogatják a biztonságos rendszerindítást. Ha a biztonságos rendszerindítás nem tudja hitelesíteni a megbízható közzétevő által aláírt rendszerképet, a virtuális gép nem indítható el. További információ: Biztonságos rendszerindítás.

Mielőtt elkezdené

• Az Azure CLI 2.66.0-s vagy újabb verziója. Futtassa az --version a verziót, és futtassa az upgrade a verzió frissítéséhez. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.
• A biztonságos rendszerindításhoz aláírt rendszerindítási betöltőkre, operációsrendszer-kernelekre és illesztőprogramokra van szükség.

Korlátozások

• Az AKS támogatja a megbízható indítást az 1.25.2-es és újabb verzióban.
• A megbízható indítás csak az Azure 2. generációs virtuális gépeket támogatja.
• A Windows Server operációs rendszert futtató fürtcsomópontok nem támogatottak.
• A megbízható indítás nem támogatja a FIPS-kompatibilis vagy Arm64-alapú csomópontkészleteket.
• A megbízható indítás nem támogatja a virtuális csomópontot.
• A rendelkezésre állási csoportok nem támogatottak, csak a virtuálisgép-méretezési csoportok.
• A GPU-csomópontkészletek biztonságos rendszerindításának engedélyezéséhez ki kell hagynia a GPU-illesztő telepítését. További információt a GPU-illesztőprogram telepítésének kihagyása című témakörben talál.
• Rövid élettartamú operációsrendszer-lemezek hozhatók létre megbízható indítással, és minden régió támogatott. Azonban nem minden virtuális gép mérete támogatott. További információ: A megbízható indítás rövid élettartamú operációsrendszer-méretei.

Új fürt üzembe helyezése

Hajtsa végre az alábbi lépéseket egy AKS-fürt üzembe helyezéséhez az Azure CLI használatával.

1. Hozzon létre egy AKS-fürtöt az az aks create paranccsal. A parancs futtatása előtt tekintse át a következő paramétereket:

   • --name: Adjon meg egy egyedi nevet az AKS-fürtnek, például a myAKSClusternek.
   • --resource-group: Adja meg egy meglévő erőforráscsoport nevét az AKS-fürterőforrás üzemeltetéséhez.
   • --enable-secure-boot: Engedélyezi a biztonságos rendszerindítást egy megbízható közzétevő által aláírt rendszerkép hitelesítéséhez.
   • --enable-vtpm: Engedélyezi a vTPM-et, és a virtuális gép teljes rendszerindítási láncának mérésével elvégzi az igazolást.

   Feljegyzés

   A biztonságos rendszerindításhoz aláírt rendszerindítási betöltőkre, operációsrendszer-kernelekre és illesztőprogramokra van szükség. Ha a biztonságos rendszerindítás engedélyezése után a csomópontok nem indulnak el, ellenőrizheti, hogy mely rendszerindító összetevők felelősek a biztonságos rendszerindítási hibákért egy Azure Linux rendszerű virtuális gépen. Tekintse meg a biztonságos rendszerindítási hibák ellenőrzését.

   Az alábbi példa létrehoz egy myAKSCluster nevű fürtöt a myResourceGroup egy csomópontjával, és engedélyezi a biztonságos rendszerindítást és a vTPM-et:

   az aks create \
       --name myAKSCluster \
       --resource-group myResourceGroup \
       --node-count 1 \
       --enable-secure-boot \
       --enable-vtpm \
       --generate-ssh-keys
   

2. Futtassa a következő parancsot a Kubernetes-fürt hozzáférési hitelesítő adatainak lekéréséhez. Használja az az aks get-credentials parancsot , és cserélje le a fürt nevének és az erőforráscsoport nevének értékeit.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

Csomópontkészlet hozzáadása engedélyezett megbízható indítással

Helyezzen üzembe egy olyan csomópontkészletet, amelyen engedélyezve van a megbízható indítás az az aks nodepool add paranccsal. A parancs futtatása előtt tekintse át a következő paramétereket:

• --cluster-name: Adja meg az AKS-fürt nevét.
• --resource-group: Adja meg egy meglévő erőforráscsoport nevét az AKS-fürterőforrás üzemeltetéséhez.
• --name: Adjon meg egy egyedi nevet a csomópontkészletnek. A csomópontkészlet neve csak kisbetűs alfanumerikus karaktereket tartalmazhat, és kisbetűvel kell kezdődnie. Linux-csomópontkészletek esetén a hossznak 1–11 karakternek kell lennie.
• --node-count: A Kubernetes-ügynökkészlet csomópontjainak száma. Az alapértelmezett érték 3.
• --enable-secure-boot: Engedélyezi a biztonságos rendszerindítást egy megbízható közzétevő által aláírt rendszerkép hitelesítéséhez.
• --enable-vtpm: Engedélyezi a vTPM-et, és a virtuális gép teljes rendszerindítási láncának mérésével elvégzi az igazolást.

Az alábbi példa egy három csomópontot tartalmazó myAKSCluster nevű fürtön üzembe helyez egy vTPM-kompatibilis csomópontkészletet:

az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm  

Az alábbi példa egy olyan csomópontkészletet helyez üzembe, amelyen a vTPM és a Biztonságos rendszerindítás engedélyezve van egy myAKSCluster nevű, három csomópontot tartalmazó fürtön:

az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot

Fürt frissítése és a megbízható indítás engedélyezése

Frissítsen egy csomópontkészletet az az aks nodepool update paranccsal engedélyezett megbízható indítással. A parancs futtatása előtt tekintse át a következő paramétereket:

• --resource-group: Adja meg a meglévő AKS-fürtöt üzemeltető meglévő erőforráscsoport nevét.
• --cluster-name: Adjon meg egy egyedi nevet az AKS-fürtnek, például a myAKSClusternek.
• --name: Adja meg a csomópontkészlet nevét, például a mynodepoolt.
• --enable-secure-boot: Engedélyezi a biztonságos rendszerindítást annak hitelesítésére, hogy a rendszerképet egy megbízható közzétevő írta alá.
• --enable-vtpm: Engedélyezi a vTPM-et, és a virtuális gép teljes rendszerindítási láncának mérésével elvégzi az igazolást.

Az alábbi példa frissíti a myREsourceGroup myAKSCluster myAKSCluster csomópontkészletét, és engedélyezi a biztonságos rendszerindítást és a vTPM-et:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot --enable-vtpm 

Podok hozzárendelése olyan csomópontokhoz, amelyeken engedélyezve van a megbízható indítás

Korlátozhatja a podokat, és korlátozhatja egy adott csomóponton vagy csomóponton való futtatásra, illetve a megbízható indítást engedélyező csomópontok előnyben részesítésére. Ezt a podjegyzékben található alábbi csomópontkészlet-választóval szabályozhatja.

VTPM-et futtató csomópontkészlet esetén alkalmazza a következőket:

spec:
  nodeSelector:
        kubernetes.azure.com/trusted-launch: true

Biztonságos rendszerindítást futtató csomópontkészlet esetén alkalmazza a következőket:

spec:
  nodeSelector:
        kubernetes.azure.com/secure-boot: true

Biztonságos rendszerindítás letiltása

Ha le szeretné tiltani a biztonságos rendszerindítást egy AKS-fürtön, futtassa a következő parancsot:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot 

A vTPM letiltása

Ha le szeretné tiltani a vTPM-et egy AKS-fürtön, futtassa a következő parancsot:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

Következő lépések

Ebben a cikkben megtanulta, hogyan engedélyezheti a megbízható indítást. További információ a megbízható indításról.