التشغيل الموثوق به (معاينة) لخدمة Azure Kubernetes (AKS)

  • مقالة

يعمل التشغيل الموثوق به (المعاينة) على تحسين أمان الأجهزة الظاهرية من الجيل 2 (VMs) من خلال الحماية من تقنيات الهجوم المتقدمة والمستمرة. وهو يمكن المسؤولين من نشر عقد AKS، التي تحتوي على الأجهزة الظاهرية الأساسية، مع برامج تحميل التمهيد التي تم التحقق منها وموقعة، ونواة نظام التشغيل، وبرامج التشغيل. باستخدام التمهيد الآمن والمقاس، يكتسب المسؤولون رؤى وثقة تكامل سلسلة التمهيد بأكملها.

تساعدك هذه المقالة على فهم هذه الميزة الجديدة وكيفية تنفيذها.

نظرة عامة

يتكون التشغيل الموثوق من تقنيات متعددة منسقة للبنية الأساسية يمكن تمكين كل منها على حدا. توفر كل تقنية طبقة أخرى من الحماية ضد التهديدات المتطورة.

  • vTPM - يقدم التشغيل الموثوق به إصدارا ظاهريا من وحدة النظام الأساسي الموثوق به (TPM)، متوافقة مع مواصفات TPM 2.0. وهو بمثابة مخزن آمن مخصص للمفاتيح والقياسات. يوفر التشغيل الموثوق لجهازك الظاهري مثيل TPM مخصص خاص به يعمل في بيئة آمنة بعيداً عن أي جهاز ظاهري. يمكّن vTPM الإثبات عن طريق قياس سلسلة التمهيد الكاملة لجهازك الظاهري (UEFI ونظام التشغيل والنظام وبرامج تشغيل الجهاز). يستخدم التشغيل الموثوق vTPM لإجراء الإثبات عن بُعد بواسطة السحابة. يتم استخدامه لإجراء فحوصات سلامة النظام الأساسي واتخاذ القرارات المستندة إلى الثقة. باعتباره فحص سلامة، يمكن أن يشهد التشغيل الموثوق بطريقة سرية أن جهازك الظاهري تم بدء تمهيده بشكل صحيح. إذا فشلت العملية، ربما لأن الجهاز الظاهري الخاص بك يقوم بتشغيل مكون غير مصرح به، فإن Microsoft Defender for Cloud يصدر تنبيهات التكامل. تتضمن التنبيهات تفاصيل حول المكونات التي فشلت في اجتياز فحوصات تكامل البيانات.

  • التمهيد الآمن - في جذر التشغيل الموثوق به هو التمهيد الآمن للجهاز الظاهري الخاص بك. هذا الوضع، الذي يتم تنفيذه في البرنامج الثابت للنظام الأساسي، يحمي من محاولات تثبيت مجموعة الأدوات الأولية ومجموعة أدوات التمهيد المستندة إلى البرامج الضارة. تعمل Secure Boot للتأكد من أن برامج التشغيل وأنظمة التشغيل الموقّعة فقط يمكن تشغيلها. إنها تنشئ "جذر الثقة" لمكدس الذاكرة المؤقتة للبرامج على جهازك الظاهري. باستخدام Secure Boot، لا بد أن تُوقّع جميع مكونات التمهيد لنظام التشغيل (أداة تحميل التمهيد وkernel وبرامج تشغيل kernel) من قبل الناشرين الموثوقين. يدعم كل من Windows وتوزيعات Linux المحددة Secure Boot. إذا فشل التمهيد الآمن في مصادقة صورة موقعة من قبل ناشر موثوق به، فلن يسمح للجهاز الظاهري بالتمهيد. لمزيد من المعلومات، راجعSecure Boot.

قبل البدء

  • الإصدار 2.44.1 من Azure CLI أو أحدث. قم بتشغيل az --version للعثور على الإصدار، ثم قم بتشغيل az upgrade لترقية الإصدار. إذا كنت بحاجة إلى التثبيت أو الترقية، فراجع تثبيت Azure CLI.

  • aks-preview إصدار ملحق Azure CLI 1.0.0b6 أو أحدث.

  • تسجيل الميزة TrustedLaunchPreview في اشتراك Azure الخاص بك.

  • يدعم AKS التشغيل الموثوق به (معاينة) على الإصدار 1.25.2 والإصدارات الأحدث.

  • يدعم التشغيل الموثوق به أجهزة Azure الظاهرية من الجيل 2 فقط.

  • يتطلب التمهيد الآمن برامج تحميل التمهيد الموقعة ونواة نظام التشغيل وبرامج التشغيل.

تثبيت ملحق aks-preview Azure CLI

هام

تتوفر ميزات معاينة AKS على أساس الخدمة الذاتية والاشتراك. يتم توفير المعاينات "كما هي" و"كما هي متوفرة"، ويتم استبعادها من اتفاقيات مستوى الخدمة والضمان المحدود. تتم تغطية معاينات AKS جزئيًا بواسطة دعم العملاء على أساس بذل أفضل الجهود. على هذا النحو، هذه الميزات ليست مخصصة للاستخدام الإنتاجي. لمزيد من المعلومات، يُرجي الاطلاع على مقالات الدعم الآتية:

لتثبيت ملحق aks-preview، قم بتشغيل الأمر التالي:

az extension add --name aks-preview

قم بتشغيل الأمر التالي للتحديث إلى أحدث إصدار من الملحق الذي تم إصداره:

az extension update --name aks-preview

تسجيل علامة ميزة TrustedLaunchPreview

قم بتسجيلTrustedLaunchPreviewميزة الإشارة باستخدامتسجيل ميزة az كما هو موضح في المثال التالي:

az feature register --namespace "Microsoft.ContainerService" --name "TrustedLaunchPreview"

يستغرق الأمر بضع دقائق حتى تظهر الحالة مُسجل. تحقق من حالة التسجيل باستخدام الأمر az feature show :

az feature show --namespace "Microsoft.ContainerService" --name "TrustedLaunchPreview"

عندما تعكس الحالة Registered، قم بتحديث تسجيل موفر موارد Microsoft.ContainerService باستخدام الأمر az provider register:

az provider register --namespace "Microsoft.ContainerService"

القيود

  • عقد نظام المجموعة التي تعمل بنظام التشغيل Windows Server غير مدعومة.
  • لا يدعم التشغيل الموثوق به (معاينة) تجمعات العقد مع تمكين FIPS أو استنادا إلى ARM64.
  • مجموعات التوفر غير مدعومة، فقط مجموعات مقياس الجهاز الظاهري.
  • لتمكين التمهيد الآمن على تجمعات عقدة GPU، تحتاج إلى تخطي تثبيت برنامج تشغيل GPU. لمزيد من المعلومات، راجعتخطي تثبيت برنامج تشغيل GPU.
  • يمكن إنشاء أقراص نظام التشغيل سريعة الزوال مع التشغيل الموثوق به ويتم دعم جميع المناطق. ومع ذلك، لا يتم دعم جميع أحجام الأجهزة الظاهرية. لمزيد من المعلومات، راجع أحجام نظام التشغيل المؤقتة للإطلاق الموثوق به.

نشر نظام مجموعة جديد

قم بتنفيذ الخطوات التالية لنشر نظام مجموعة AKS باستخدام Azure CLI.

  1. أنشئ نظام مجموعة AKS باستخدام الأمر az aks create. قبل تشغيل الأمر، راجع المعلمات التالية:

    • --name: أدخل اسما فريدا لنظام مجموعة AKS، مثل myAKSCluster.
    • --resource-group: أدخل اسم مجموعة موارد موجودة لاستضافة مورد نظام مجموعة AKS.
    • --enable-secure-boot: تمكين التمهيد الآمن لمصادقة صورة موقعة من قبل ناشر موثوق به.
    • --enable-vtpm: تمكين vTPM وتنفيذ التصديق عن طريق قياس سلسلة التمهيد بأكملها للجهاز الظاهري الخاص بك.

    إشعار

    يتطلب التمهيد الآمن برامج تحميل التمهيد الموقعة ونواة نظام التشغيل وبرامج التشغيل. إذا لم تبدأ العقد الخاصة بك بعد تمكين التمهيد الآمن، يمكنك التحقق من مكونات التمهيد المسؤولة عن فشل التمهيد الآمن داخل Azure Linux Virtual Machine. راجع التحقق من فشل التمهيد الآمن.

    ينشئ المثال التالي مجموعة تسمى myAKSCluster مع عقدة واحدة في myResourceGroup، وتمكين التمهيد الآمن وvTPM:

    az aks create --name myAKSCluster --resource-group myResourceGroup --node-count 1 --enable-secure-boot --enable-vtpm --enable-managed-identity --generate-ssh-keys

  2. قم بتشغيل الأمر التالي للحصول على بيانات اعتماد الوصول لمجموعة Kubernetes. استخدم الأمر az aks get-credentials واستبدل قيم اسم نظام المجموعة واسم مجموعة الموارد.

    az aks get-credentials --resource-group myResourceGroup --name myAKSCluster

إضافة تجمع عقدة مع تمكين التشغيل الموثوق به

نشر تجمع عقدة مع تمكين التشغيل الموثوق به باستخدام الأمر az aks nodepool add . قبل تشغيل الأمر، راجع المعلمات التالية:

  • --cluster-name: أدخل اسم نظام مجموعة AKS.
  • --resource-group: أدخل اسم مجموعة موارد موجودة لاستضافة مورد نظام مجموعة AKS.
  • --name: أدخل اسما فريدا لتجمع العقدة. قد يحتوي اسم تجمع عقدة أحرف أبجدية رقمية صغيرة فقط ويجب أن تبدأ بحرف صغير. بالنسبة لتجمعات عقد Linux، يجب أن يتراوح الطول بين 1-11 حرفا.
  • --عدد العقد: عدد العقد في تجمع عامل Kubernetes. الافتراضي هو 3.
  • --enable-secure-boot: تمكين التمهيد الآمن لمصادقة الصورة الموقعة من قبل ناشر موثوق به.
  • --enable-vtpm: تمكين vTPM وتنفيذ التصديق عن طريق قياس سلسلة التمهيد بأكملها للجهاز الظاهري الخاص بك.

إشعار

يتطلب التمهيد الآمن برامج تحميل التمهيد الموقعة ونواة نظام التشغيل وبرامج التشغيل. إذا لم تبدأ العقد الخاصة بك بعد تمكين التمهيد الآمن، يمكنك التحقق من مكونات التمهيد المسؤولة عن فشل التمهيد الآمن داخل Azure Linux Virtual Machine. راجع التحقق من فشل التمهيد الآمن.

ينشر المثال التالي تجمع عقدة مع تمكين vTPM على مجموعة تسمى myAKSCluster بثلاث عقد:

az aks nodepool add --resource-group myResourceGroup -–cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm

ينشر المثال التالي تجمع عقدة مع تمكين vTPM وSecure Boot على مجموعة تسمى myAKSCluster بثلاث عقد:

az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot

تحديث نظام المجموعة وتمكين التشغيل الموثوق به

تحديث تجمع عقدة مع تمكين التشغيل الموثوق به باستخدام الأمر az aks nodepool update . قبل تشغيل الأمر، راجع المعلمات التالية:

  • --resource-group: أدخل اسم مجموعة موارد موجودة تستضيف مجموعة AKS الحالية.
  • --cluster-name: أدخل اسما فريدا لمجموعة AKS، مثل myAKSCluster.
  • --name: أدخل اسم تجمع العقدة، مثل mynodepool.
  • --enable-secure-boot: تمكين التمهيد الآمن للمصادقة على أن الصورة تم توقيعها من قبل ناشر موثوق به.
  • --enable-vtpm: تمكين vTPM وتنفيذ التصديق عن طريق قياس سلسلة التمهيد بأكملها للجهاز الظاهري الخاص بك.

إشعار

يجب أن يستخدم nodepool الموجود صورة تشغيل موثوق بها للتمكين على تجمع عقدة موجود. ومن ثم، بالنسبة إلى nodepools التي تم إنشاؤها قبل تسجيل الميزة TrustedLaunchPreview ، لا يمكنك تحديثها مع تمكين التشغيل الموثوق به.

بشكل افتراضي، يؤدي إنشاء تجمع عقدة مع تكوين متوافق مع TL وعلامة الميزة المسجلة إلى صورة تشغيل موثوق بها. بدون تحديد --enable-vtpm أو --enable-secure-boot معلمات، يتم تعطيلها بشكل افتراضي ويمكنك تمكينها لاحقا باستخدام az aks nodepool update الأمر.

إشعار

يتطلب التمهيد الآمن برامج تحميل التمهيد الموقعة ونواة نظام التشغيل وبرامج التشغيل. إذا لم تبدأ العقد الخاصة بك بعد تمكين التمهيد الآمن، يمكنك التحقق من مكونات التمهيد المسؤولة عن فشل التمهيد الآمن داخل Azure Linux Virtual Machine. راجع التحقق من فشل التمهيد الآمن.

يحدث المثال التالي تجمع العقدة mynodepool على myAKSCluster في myResourceGroup، ويمكن التمهيد الآمن وvTPM:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot --enable-vtpm

تعيين pods إلى العقد مع تمكين التشغيل الموثوق به

يمكنك تقييد جراب وتقييده للتشغيل على عقدة أو عقد معينة، أو تفضيل العقد مع تمكين التشغيل الموثوق به. يمكنك التحكم في هذا باستخدام محدد تجمع العقدة التالي في بيان pod الخاص بك.

بالنسبة لتجمع عقدة يقوم بتشغيل vTPM، قم بتطبيق ما يلي:

spec:
  nodeSelector:
        kubernetes.azure.com/trusted-launch: true

بالنسبة لتجمع عقدة يقوم بتشغيل التمهيد الآمن، قم بتطبيق ما يلي:

spec:
  nodeSelector:
        kubernetes.azure.com/secure-boot: true

تعطيل التمهيد الآمن

لتعطيل التمهيد الآمن على نظام مجموعة AKS، قم بتشغيل الأمر التالي:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot

إشعار

التحديثات بدء إعادة تعيين العقدة تلقائيا وقد تستغرق هذه العملية عدة دقائق لكل عقدة.

تعطيل vTPM

لتعطيل vTPM على نظام مجموعة AKS، قم بتشغيل الأمر التالي:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

الخطوات التالية

في هذه المقالة، تعلمت كيفية تمكين التشغيل الموثوق به. تعرف على المزيد حول التشغيل الموثوق به.