Důvěryhodné spuštění pro Azure Kubernetes Service (AKS)

Trusted Launch zlepšuje zabezpečení virtuálních počítačů generace 2 tím, že chrání před pokročilými a trvalými technikami útoku. Umožňuje správcům nasazovat uzly AKS, které obsahují základní virtuální počítače s ověřenými a podepsanými spouštěcími zavaděči, jádry operačního systému a ovladači. Pomocí zabezpečeného a měřeného spouštění získávají správci přehledy a jistotu o integritě celého spouštěcího řetězce.

Tento článek vám pomůže pochopit tuto novou funkci a jak ji implementovat.

Důležité

Od 30. listopadu 2025 už Azure Kubernetes Service (AKS) nepodporuje ani neposkytuje aktualizace zabezpečení pro Azure Linux 2.0. Image uzlu Azure Linux 2.0 je zafixována u verze 202512.06.0. Od 31. března 2026 se image uzlů odeberou a nebudete moct škálovat fondy uzlů. Přejděte na podporovanou verzi Azure Linuxu aktualizací poolů uzlů na podporovanou verzi Kubernetes nebo migrací na osSku AzureLinux3. Další informace najdete v tématu Problém s vyřazením z GitHubu a oznámení o vyřazení aktualizací Azure. Pokud chcete mít přehled o oznámeních a aktualizacích, postupujte podle poznámek k verzi AKS.

Přehled

Trusted Launch se skládá z několika koordinovaných technologií infrastruktury, které lze povolit nezávisle. Každá technologie poskytuje další vrstvu ochrany před sofistikovanými hrozbami.

• vTPM – Trusted Launch zavádí virtualizovanou verzi hardwarového čipu TPM (Trusted Platform Module ), která je kompatibilní se specifikací TPM 2.0. Slouží jako vyhrazený trezor zabezpečení pro klíče a měření. Trusted Launch poskytuje virtuálnímu počítači vlastní vyhrazenou instanci TPM spuštěnou v zabezpečeném prostředí mimo dosah jakéhokoli virtuálního počítače. Virtuální počítač vTPM umožňuje ověření tím , že měří celý spouštěcí řetězec vašeho virtuálního počítače (UEFI, OS, systém a ovladače). Trusted Launch používá virtuální počítač vTPM k provedení vzdáleného ověření cloudem. Používá se pro kontroly stavu platformy a pro rozhodování na základě důvěryhodnosti. Při kontrole stavu může důvěryhodné spuštění kryptograficky certifikovat, že se váš virtuální počítač správně spustil. Pokud proces selže, pravděpodobně kvůli tomu, že váš virtuální počítač používá neautorizovaný komponentu, Microsoft Defender for Cloud problémy s upozorněními na integritu. Mezi výstrahy patří podrobnosti o tom, které komponenty neprošly kontrolou integrity.

• Zabezpečené spouštění – V kořenovém adresáři důvěryhodného spuštění je zabezpečené spouštění pro váš virtuální počítač. Tento režim, který je implementován v firmwaru platformy, chrání před instalací rootkitů a spouštěcích sad založených na malwaru. Zabezpečené spouštění funguje s cílem zajistit, aby se mohly spouštět jenom podepsané operační systémy a ovladače. Vytvoří "kořen důvěryhodnosti" pro softwarový zásobník na vašem virtuálním počítači. Pokud je povolené zabezpečené spouštění, musí být všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) podepsané důvěryhodnými vydavateli. Windows i výběr linuxových distribucí podporují zabezpečené spouštění. Pokud se zabezpečené spuštění nepodaří ověřit image podepsanou důvěryhodným vydavatelem, virtuální počítač se nesmí spustit. Další informace najdete v tématu Zabezpečené spouštění.

Než začnete

• Azure CLI verze 2.66.0 nebo novější. Spuštěním příkazu vyhledejte az --version verzi a spusťte az upgrade upgrade verze. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

• Zabezpečené spouštění vyžaduje podepsané zavaděče spouštění, jádra operačního systému a ovladače.

Omezení

• AKS podporuje Trusted Launch v kubernetes verze 1.25.2 a vyšší.
• Důvěryhodné spuštění podporuje pouze virtuální počítače Azure Generation 2. generace.
• Fondy uzlů s operačním systémem Windows Server se nepodporují.
• Důvěryhodné spuštění nejde povolit ve stejném fondu uzlů jako FIPS, Arm64, Sandboxing podů nebo důvěrný virtuální počítač. Další informace najdete v dokumentaci k imagím uzlů.
• Důvěryhodné spuštění nepodporuje virtuální uzel.
• Skupiny dostupnosti nejsou podporované, pouze škálovací sady virtuálních počítačů.
• Pokud chcete povolit zabezpečené spouštění ve fondech uzlů GPU, musíte přeskočit instalaci ovladače GPU. Další informace najdete v tématu Vynechání instalace ovladače GPU.
• Dočasné disky s operačním systémem je možné vytvořit s důvěryhodným spuštěním a podporují se všechny oblasti. Nepodporují se ale všechny velikosti virtuálních počítačů. Další informace naleznete v tématu Důvěryhodné spouštěcí dočasné velikosti operačního systému.
• Flatcar Container Linux pro AKS nepodporuje důvěryhodné spuštění v AKS.

Vytvoření clusteru AKS s povoleným důvěryhodným spuštěním

Když vytváříte cluster, povolení virtuálního počítače vTPM nebo zabezpečeného spouštění automaticky nastaví fondy uzlů tak, aby používaly přizpůsobenou image Důvěryhodného spuštění. Tato image je speciálně nakonfigurovaná tak, aby podporovala funkce zabezpečení povolené důvěryhodným spuštěním.

1. Vytvořte cluster AKS pomocí příkazu az aks create . Před spuštěním příkazu zkontrolujte následující parametry:

   • --name: Zadejte jedinečný název clusteru AKS, například myAKSCluster.
   • --resource-group: Zadejte název existující skupiny prostředků pro hostování prostředku clusteru AKS.
   • --enable-secure-boot: Umožňuje zabezpečené spouštění ověřovat image podepsanou důvěryhodným vydavatelem.
   • --enable-vtpm: Povolí virtuální počítač vTPM a provádí ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače.

   Poznámka:

   Zabezpečené spouštění vyžaduje podepsané zavaděče spouštění, jádra operačního systému a ovladače. Pokud se po povolení zabezpečeného spouštění uzlů nespustí, můžete ověřit, které spouštěcí komponenty zodpovídají za selhání zabezpečeného spouštění na virtuálním počítači Azure s Linuxem. Přečtěte si informace o ověření selhání zabezpečeného spouštění.

   Následující příklad vytvoří cluster myAKSCluster s jedním uzlem v myResourceGroup a povolí zabezpečené spouštění a vTPM:

   az aks create \
       --name myAKSCluster \
       --resource-group myResourceGroup \
       --node-count 1 \
       --enable-secure-boot \
       --enable-vtpm \
       --generate-ssh-keys
   

2. Spuštěním následujícího příkazu získejte přihlašovací údaje pro přístup ke clusteru Kubernetes. Použijte příkaz az aks get-credentials a nahraďte hodnoty názvu clusteru a názvu skupiny prostředků.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

1. Vytvořte šablonu s parametry důvěryhodného spuštění. Před vytvořením šablony si projděte následující parametry:

   • enableSecureBoot: Umožňuje zabezpečené spuštění ověřit image podepsanou důvěryhodným vydavatelem.
   • enableVTPM: Povolí virtuální počítač vTPM a provede ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače.

   V šabloně zadejte hodnoty pro enableVTPM a enableSecureBoot. Stejné schéma použité pro nasazení CLI existuje v definici pod Microsoft.ContainerService/managedClusters/agentPools v sekci "properties", jak ukazuje následující příklad:

   "properties": {
       ...,
       "securityProfile": {
           "enableVTPM": "true",
           "enableSecureBoot": "true",
       }
   }
   

2. Nasaďte šablonu pomocí virtuálního počítače vTPM a povolené zabezpečené spouštění v clusteru. Podrobné pokyny najdete v tématu Nasazení clusteru AKS pomocí šablony ARM .

Přidání fondu uzlů s povoleným důvěryhodným spuštěním

Když vytvoříte fond uzlů, povolení virtuálního počítače vTPM nebo zabezpečeného spouštění automaticky nastaví fondy uzlů tak, aby používaly přizpůsobenou image Důvěryhodného spuštění. Tato image je speciálně nakonfigurovaná tak, aby podporovala funkce zabezpečení povolené důvěryhodným spuštěním.

1. Přidejte fond uzlů s povoleným důvěryhodným spuštěním az aks nodepool add pomocí příkazu. Před spuštěním příkazu zkontrolujte následující parametry:

   • --cluster-name: Zadejte název clusteru AKS.
   • --resource-group: Zadejte název existující skupiny prostředků pro hostování prostředku clusteru AKS.
   • --name: Zadejte jedinečný název fondu uzlů. Název fondu uzlů může obsahovat jenom malá písmena alfanumerické znaky a musí začínat malými písmeny. U fondů uzlů Linuxu musí být délka mezi 1 až 11 znaky.
   • --node-count: Počet uzlů ve fondu agentů Kubernetes. Výchozí hodnota je 3.
   • --enable-secure-boot: Umožňuje zabezpečené spouštění ověřovat image podepsanou důvěryhodným vydavatelem.
   • --enable-vtpm: Povolí virtuální počítač vTPM a provádí ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače.

   Poznámka:

   Zabezpečené spouštění vyžaduje podepsané zavaděče spouštění, jádra operačního systému a ovladače. Pokud se po povolení zabezpečeného spouštění uzlů nespustí, můžete ověřit, které spouštěcí komponenty zodpovídají za selhání zabezpečeného spouštění na virtuálním počítači Azure s Linuxem. Přečtěte si informace o ověření selhání zabezpečeného spouštění.

   Následující příklad nasadí fond uzlů s povoleným virtuálním heslem a zabezpečeným spouštěním v clusteru s názvem myAKSCluster se třemi uzly:

   az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot
   

2. Zkontrolujte, jestli váš fond uzlů používá image Důvěryhodného spuštění.

   Uzly důvěryhodného spuštění mají následující výstup:

   • Verze image uzlu obsahující "TL", například "AKSUbuntu-2204-gen2TLcontainerd".
   • Parametr "Security-type" by měl mít hodnotu "Trusted Launch".

   kubectl get nodes
   kubectl describe node {node-name} | grep -e node-image-version -e security-type
   

1. Vytvořte šablonu s parametry důvěryhodného spuštění. Před vytvořením šablony si projděte následující parametry:

   • enableSecureBoot: Umožňuje zabezpečené spuštění ověřit image podepsanou důvěryhodným vydavatelem.
   • enableVTPM: Povolí virtuální počítač vTPM a provede ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače.

   V šabloně zadejte hodnoty pro enableVTPM a enableSecureBoot. Stejné schéma použité pro nasazení CLI existuje v definici pod Microsoft.ContainerService/managedClusters/agentPools v sekci "properties", jak ukazuje následující příklad:

   "properties": {
       ...,
       "securityProfile": {
           "enableVTPM": "true",
           "enableSecureBoot": "true",
       }
   }
   

2. Nasaďte šablonu pomocí virtuálního počítače vTPM a povolené zabezpečené spouštění v clusteru. Podrobné pokyny najdete v tématu Nasazení clusteru AKS pomocí šablony ARM .

Povolení virtuálního počítače vTPM nebo zabezpečeného spouštění ve stávajícím fondu uzlů důvěryhodného spuštění

Existující fond uzlů Trusted Launch můžete aktualizovat tak, aby povolil virtuální počítač vTPM nebo zabezpečené spouštění. Podporovány jsou následující scénáře:

• Při vytváření fondu uzlů zadáte --enable-secure-bootpouze , můžete spustit příkaz update na --enable-vtpm
• Při vytváření fondu uzlů zadáte --enable-vtpmpouze , můžete spustit příkaz update na --enable-secure-boot

Pokud váš fond uzlů aktuálně nemá image Důvěryhodného spuštění, nebudete moct fond uzlů aktualizovat, abyste povolili zabezpečené spouštění nebo virtuální počítač vTPM.

1. Zkontrolujte, jestli váš fond uzlů používá image Důvěryhodného spuštění.

   Uzly důvěryhodného spuštění mají následující výstup:

   • Verze image uzlu obsahující "TL", například "AKSUbuntu-2204-gen2TLcontainerd".
   • Parametr "Security-type" by měl mít hodnotu "Trusted Launch".

   kubectl get nodes
   kubectl describe node {node-name} | grep -e node-image-version -e security-type
   

   Pokud váš fond uzlů aktuálně nemá image Důvěryhodného spuštění, nebudete moct fond uzlů aktualizovat, abyste povolili zabezpečené spouštění nebo virtuální počítač vTPM.

2. Pomocí příkazu aktualizujte fond uzlů s povoleným důvěryhodným spuštěním az aks nodepool update . Před spuštěním příkazu zkontrolujte následující parametry:

   • --resource-group: Zadejte název existující skupiny prostředků hostující existující cluster AKS.
   • --cluster-name: Zadejte jedinečný název clusteru AKS, například myAKSCluster.
   • --name: Zadejte název fondu uzlů, například mynodepool.
   • --enable-secure-boot: Umožňuje zabezpečené spouštění ověřit, jestli byla image podepsaná důvěryhodným vydavatelem.
   • --enable-vtpm: Povolí virtuální počítač vTPM a provádí ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače.

   Poznámka:

   Zabezpečené spouštění vyžaduje podepsané zavaděče spouštění, jádra operačního systému a ovladače. Pokud se po povolení zabezpečeného spouštění uzlů nespustí, můžete ověřit, které spouštěcí komponenty zodpovídají za selhání zabezpečeného spouštění na virtuálním počítači Azure s Linuxem. Přečtěte si informace o ověření selhání zabezpečeného spouštění.

   Následující příklad aktualizuje fond uzlů mynodepool v myAKSCluster v myResourceGroup a povolí vTPM. V tomto scénáři se při vytváření fondu uzlů povolilo zabezpečené spouštění:

   az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-vtpm 
   

   Následující příklad aktualizuje fond uzlů mynodepool v myAKSCluster v myResourceGroup a povolí zabezpečené spouštění. V tomto scénáři byl virtuální počítač vTPM povolen během vytváření fondu uzlů:

   az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot
   

1. Zkontrolujte, jestli váš fond uzlů používá image Důvěryhodného spuštění.

   Uzly důvěryhodného spuštění mají následující výstup:

   • Verze image uzlu obsahující "TL", například "AKSUbuntu-2204-gen2TLcontainerd".
   • Parametr "Security-type" by měl mít hodnotu "Trusted Launch".

   kubectl get nodes
   kubectl describe node {node-name} | grep -e node-image-version -e security-type
   

   Pokud váš fond uzlů aktuálně nemá image Důvěryhodného spuštění, nebudete moct fond uzlů aktualizovat, abyste povolili zabezpečené spouštění nebo virtuální počítač vTPM.

2. Vytvořte šablonu s parametry důvěryhodného spuštění. Před vytvořením šablony si projděte následující parametry:

   • enableSecureBoot: Umožňuje zabezpečené spuštění ověřit image podepsanou důvěryhodným vydavatelem.
   • enableVTPM: Povolí virtuální počítač vTPM a provede ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače.

   V šabloně zadejte hodnoty pro enableVTPM a enableSecureBoot. Stejné schéma použité pro nasazení CLI existuje v definici pod Microsoft.ContainerService/managedClusters/agentPools v sekci "properties", jak ukazuje následující příklad:

   "properties": {
       ...,
       "securityProfile": {
           "enableVTPM": "true",
           "enableSecureBoot": "true",
       }
   }
   

3. Nasaďte šablonu pomocí virtuálního počítače vTPM a povolené zabezpečené spouštění v clusteru. Podrobné pokyny najdete v tématu Nasazení clusteru AKS pomocí šablony ARM .

Přiřazení podů k uzlům s povoleným důvěryhodným spuštěním

Pod můžete omezit a omezit jeho spouštění na konkrétním uzlu nebo uzlech nebo upřednostnit uzly s povoleným důvěryhodným spuštěním. Můžete to řídit pomocí následujícího selektoru fondu uzlů v manifestu podu.

spec:
  nodeSelector:
        kubernetes.azure.com/security-type = "TrustedLaunch"

Zakázání virtuálního počítače vTPM nebo zabezpečeného spouštění ve stávajícím fondu uzlů důvěryhodného spuštění

Existující fond uzlů můžete aktualizovat tak, aby zakázal virtuální počítač vTPM nebo zabezpečené spouštění. Pokud k tomu dojde, zůstanete na imagi Důvěryhodného spuštění. Virtuální počítač vTPM nebo zabezpečené spouštění můžete kdykoli znovu povolit aktualizací fondu uzlů.

Pomocí příkazu aktualizujte fond uzlů, aby se zakázalo zabezpečené spouštění nebo vTPM az aks nodepool update . Před spuštěním příkazu zkontrolujte následující parametry:

• --resource-group: Zadejte název existující skupiny prostředků hostující existující cluster AKS.
• --cluster-name: Zadejte jedinečný název clusteru AKS, například myAKSCluster.
• --name: Zadejte název fondu uzlů, například mynodepool.
• --enable-secure-boot: Umožňuje zabezpečené spouštění ověřit, jestli byla image podepsaná důvěryhodným vydavatelem.
• --enable-vtpm: Povolí virtuální počítač vTPM a provádí ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače.

Zakázání virtuálního počítače vTPM ve stávajícím fondu uzlů:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

Zakázání zabezpečeného spouštění ve stávajícím fondu uzlů:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot 

1. Vytvořte šablonu s parametry důvěryhodného spuštění. Před vytvořením šablony si projděte následující parametry:

   • enableSecureBoot: Umožňuje zabezpečené spuštění ověřit image podepsanou důvěryhodným vydavatelem.
   • enableVTPM: Povolí virtuální počítač vTPM a provede ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače.

   V šabloně zadejte hodnoty pro enableVTPM a enableSecureBoot. Stejné schéma použité pro nasazení CLI existuje v definici pod Microsoft.ContainerService/managedClusters/agentPools v sekci "properties", jak ukazuje následující příklad:

   "properties": {
       ...,
       "securityProfile": {
           "enableVTPM": "false",
           "enableSecureBoot": "false",
       }
   }
   

2. Nasaďte šablonu pomocí virtuálního počítače vTPM a v clusteru zablokujte zabezpečené spouštění. Podrobné pokyny najdete v tématu Nasazení clusteru AKS pomocí šablony ARM .

Další kroky

V tomto článku jste zjistili, jak povolit důvěryhodné spuštění. Přečtěte si další informace o důvěryhodném spuštění.