Použití důvěrných virtuálních počítačů (CVM) v clusteru Azure Kubernetes Service (AKS)

Důvěrné virtuální počítače (CVM) nabízejí pro tenanty silné zabezpečení a důvěrnost. CVM nabízejí virtuální počítače s hardwarovým důvěryhodným spouštěcím prostředím (TEE), které využívají funkce zabezpečení SEV-SNP k odepření přístupu hypervisoru a dalšího kódu pro správu hostitele k paměti a stavu virtuálního počítače, což poskytuje hloubkovou ochranu před přístupem operátora. Tyto funkce umožňují fondům uzlů s CVM cílit na migraci vysoce citlivých úloh kontejnerů do AKS bez refaktoringu kódu a zároveň využívat výhod funkcí AKS. Můžete například vyžadovat CVM, pokud máte následující:

• Úlohy, které zpracovávají důležitá data zabezpečení nebo citlivá zákaznická data
• Služby, které jsou potřeba ke splnění různých požadavků na dodržování předpisů, zejména pro smlouvy státní správy. Bez škálovatelného řešení pro zabezpečení dat by to mohlo potenciálně vést ke ztrátě akreditací a smluv.

V tomto článku se dozvíte, jak vytvořit fondy uzlů AKS pomocí velikostí důvěrných virtuálních počítačů.

Služba AKS podporuje důvěrné velikosti VM.

Azure nabízí možnost TEE (Trusted Execution Environment) od AMD i Intel. Tyto TEE umožňují vytvářet důvěrná prostředí virtuálních počítačů s vynikajícím poměrem ceny a výkonu, a to vše bez nutnosti změn kódu.

• Důvěrné virtuální počítače založené na AMD používají technologii AMD SEV-SNP, která se zavádí s procesory třetí generace AMD EPYC™.
• Důvěrné virtuální počítače založené na intelu používají Intel TDX se čtvrtými procesory Intel® Xeon®.

Obě technologie mají různé implementace. Oba však poskytují podobnou ochranu v rámci zásobníku cloudové infrastruktury. Další informace najdete v tématu Velikosti virtuálních počítačů CVM.

Funkce zabezpečení

CvM nabízejí následující vylepšení zabezpečení ve srovnání s jinými velikostmi virtuálních počítačů:

• Robustní hardwarová izolace mezi virtuálními počítači, hypervisorem a kódem pro správu hostitelů.
• Přizpůsobitelné zásady ověření identity, které zajistí dodržování předpisů hostitele před nasazením.
• Cloudové důvěrné šifrování disku s operačním systémem před prvním spuštěním.
• Šifrovací klíče virtuálních počítačů, které platforma nebo zákazník (volitelně) vlastní a spravuje.
• Zabezpečené vydání klíče s kryptografickou vazbou mezi úspěšným ověřením identity platformy a šifrovacími klíči virtuálního počítače.
• Vyhrazená instance čipu TPM (Trusted Platform Module) pro ověření identity a ochranu klíčů a tajných kódů na virtuálním počítači.
• Funkce zabezpečeného spouštění podobná důvěryhodnému spuštění pro virtuální počítače Azure

Jak to funguje?

Pokud používáte úlohu, která vyžaduje zvýšenou důvěrnost a integritu, můžete využít šifrování paměti a rozšířeného zabezpečení bez změn kódu ve vaší aplikaci. Všechny pody v uzlu CVM jsou součástí stejné hranice důvěryhodnosti. Uzly ve fondu uzlů vytvořeném pomocí CVM používají přizpůsobenou image uzlu speciálně nakonfigurovanou pro CVM.

Podporované verze operačního systému

Fondy uzlů CVM můžete vytvořit v linuxových typech operačního systému (Ubuntu a Azure Linux). Ne všechny verze operačního systému však podporují fondy uzlů CVM.

Tato tabulka obsahuje podporované verze operačního systému:

Typ operačního systému	Produkt operačního systému	Podpora CVM	Výchozí nastavení CVM
Operační systém Linux	Ubuntu	Podporováno	Ubuntu 20.04 je výchozí pro K8s verze 1.24-1.33. Ubuntu 24.04 je výchozí pro K8s verze 1.34-1.38.
Operační systém Linux	Ubuntu2204	Nepodporováno	AKS nepodporuje CVM pro Ubuntu 22.04.
Operační systém Linux	Ubuntu2404	Podporováno	CVM je podporováno Ubuntu2404 v K8s 1.32-1.38.
Operační systém Linux	AzureLinux	Podporováno v Azure Linux 3.0	Azure Linux 3 je výchozí při povolování CVM pro K8s verze 1.28-1.36.
Operační systém Linux	flatcar	Není podporováno	Flatcar Container Linux pro AKS nepodporuje CVM.
Operační systém Linux	AzureLinuxOSGuard	Není podporováno	Azure Linux s OS Guard pro AKS nepodporuje CVM.
Windows	Všechny skladové položky operačního systému Windows	Nepodporováno

Pokud používáte Ubuntu nebo AzureLinux jako osSKU, a výchozí verze operačního systému nepodporuje CVM, AKS automaticky přejde na nejnovější verzi operačního systému podporovanou CVM. Například Ubuntu 22.04 je nastaveno jako výchozí pro linuxové nodové pooly. Vzhledem k tomu, že verze 22.04 v současné době nepodporuje CVM, AKS ve výchozím nastavení používá Ubuntu 20.04 pro fondy uzlů s podporou Linuxu CVM.

Omezení

Při přidávání fondu uzlů s CVM do AKS platí následující omezení:

• Sandboxing FIPS, ARM64, Trusted Launch ani Pod nemůžete použít.
• Existující skupinu uzlů nelze aktualizovat, aby se migrovalo na velikost CVM. Pokud chcete provést migraci, budete muset změnit velikost fondu uzlů.
• CVM nemůžete použít s fondy uzlů Windows.
• CVM s Azure Linuxem je aktuálně ve verzi Preview.

Požadavky

Než začnete, ujistěte se, že máte následující:

• Existující cluster AKS.
• Velikosti CVM musí být dostupné pro vaše předplatné v oblasti, ve které je cluster vytvořen. K vytvoření fondu uzlů s velikostí CVM musíte mít dostatečnou kvótu.
• Pokud používáte operační systém Azure Linux, musíte nainstalovat aks-preview rozšíření, aktualizovat aks-preview rozšíření a zaregistrovat příznak funkce Preview. Pokud používáte Ubuntu, můžete tyto kroky přeskočit.

Pokud používáte Azure Linux

CVMs pro Ubuntu jsou obecně dostupné, ale CVMs s Azure Linuxem jsou v současné době stále ve verzi pro náhled. Pokud chcete používat fondy uzlů CVM s Azure Linuxem jako zvoleným operačním systémem, ujistěte se, že povolíte rozšíření a zaregistrujete příznak.

Instalace aks-preview rozšíření

1. aks-preview Nainstalujte rozšíření Azure CLI pomocí az extension add příkazu.

   Důležité

   Funkce AKS ve verzi Preview jsou k dispozici na bázi samoobsluhy a dobrovolného přihlášení. Ukázky jsou poskytovány "jak jsou" a "podle aktuální dostupnosti" a jsou vyloučené ze smluv o úrovni služeb a omezené záruky. Předběžné verze AKS jsou částečně pokryty zákaznickou podporou podle možností. Proto tyto funkce nejsou určené pro produkční použití. Další informace najdete v následujících článcích podpory:

   • Zásady podpory AKS
   • Nejčastější dotazy ohledně podpory Azure

   az extension add --name aks-preview
   

2. Pomocí příkazu aktualizujte na nejnovější verzi rozšíření az extension update .

   az extension update --name aks-preview
   

Příznak registrace AzureLinuxCVMPreview funkce

1. AzureLinuxCVMPreview Pomocí příkazu [az feature register][az-feature-register] zaregistrujte příznak funkce.

   az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxCVMPreview"
   

2. Pomocí příkazu [az feature show][az-feature-show] ověřte stav registrace. Zobrazení stavu Zaregistrované trvá několik minut.

   az feature show --namespace Microsoft.ContainerService --name AzureLinuxCVMPreview
   

3. Jakmile se stav projeví jako zaregistrovaný, aktualizujte registraci poskytovatele prostředků Microsoft.ContainerService pomocí příkazu [az provider register][az-provider-register].

   az provider register --namespace Microsoft.ContainerService
   

Přidání fondu uzlů s CVM do clusteru AKS

• Přidejte fond uzlů s CVM do clusteru AKS pomocí az aks nodepool add příkazu a nastavte node-vm-size podporovanou velikost virtuálního počítače.

  az aks nodepool add \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --node-count 3 \
      --node-vm-size Standard_DC4as_v5 
  

Pokud neurčíte osSKU nebo osType, AKS nastaví výchozí hodnotu --os-type Linux a --os-sku Ubuntu.

Upgrade existujícího fondu uzlů pomocí CVM na Ubuntu 24.04

• Pomocí příkazu upgradujte existující fond uzlů pomocí CVM na Ubuntu 24.04 z Ubuntu 20.04 az aks nodepool update . Nastavit jako os-skuUbuntu2404.

    az aks nodepool update \
        --resource-group myResourceGroup \
        --cluster-name myAKSCluster \
        --name cvmnodepool \
        --os-sku Ubuntu2404
  

Poznámka:

Fond uzlů, který je Ubuntu 24.04 s CVM, je podporován z clusteru AKS verze 1.33. Kromě toho, než se Ubuntu 24.04 stane GA verzí, musíte zaregistrovat tuto funkci. Další informace najdete v tématu here registrace funkce.

Ověření, že fond uzlů používá CVM

1. Pomocí příkazu ověřte, že fond uzlů používá CVMaz aks nodepool show, a ověřte, že je vmSize.Standard_DCa4_v5

   az aks nodepool show \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name cvmnodepool \
       --query 'vmSize'
   

   Následující příklad příkazu a výstupu ukazuje, že fond uzlů používá CVM:

   az aks nodepool show \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name cvmnodepool \
       --query 'vmSize'
   
   "Standard_DC4as_v5"
   

2. Ověřte, že fond uzlů používá image CVM pomocí příkazu az aks nodepool list.

   az aks nodepool list \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name cvmnodepool \
       --query 'nodeImageVersion'
   

   Následující příklad příkazu a výstupu ukazuje, že fond uzlů používá image CVM Ubuntu 20.04:

   az aks nodepool show \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name cvmnodepool \
       --query 'nodeImageVersion'
   
   "AKSUbuntu-2004cvmcontainerd-202507.02.0"
   

Odebrání fondu uzlů pomocí CVM z clusteru AKS

• Pomocí příkazu odeberte fond uzlů s CVM z clusteru az aks nodepool delete AKS.

  az aks nodepool delete \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool
  

Další kroky

V tomto článku jste zjistili, jak přidat fond uzlů s CVM do clusteru AKS.

• Více informací o CVM najdete v tématu Podpora uzlových poolů důvěrných virtuálních strojů v AKS.
• Pokud chcete migrovat existující fond uzlů na velikost virtuálního počítače CVM, můžete změnit velikost fondu uzlů.
• Pokud vás zajímá jenom povolení důvěryhodného spuštění ve fondech uzlů, přečtěte si téma Důvěryhodné spuštění v AKS.