Bereitstellen eines AKS-Clusters mit vertraulichen Containern und einer Standardrichtlinie

In diesem Artikel verwenden Sie die Azure CLI, um einen Azure Kubernetes Service (AKS)-Cluster bereitzustellen und vertrauliche Container (Vorschau) mit einer Standardsicherheitsrichtlinie zu konfigurieren. Anschließend stellen Sie eine Anwendung als vertraulichen Container bereit. Weitere Informationen finden Sie in der Übersicht über vertrauliche AKS-Container.

Im Allgemeinen sind die ersten Schritte mit vertraulichen AKS-Containern erforderlich.

• Bereitstellen oder Aktualisieren eines AKS-Clusters mithilfe der Azure-Befehlszeilenschnittstelle
• Hinzufügen einer Anmerkung zu Ihrem POD-YAML-Manifest, um den Pod für die Ausführung als vertraulicher Container zu kennzeichnen
• Hinzufügen einer Sicherheitsrichtlinie zu Ihrem Pod-YAML-Manifest
• Aktivieren der Durchsetzung der Sicherheitsrichtlinie
• Bereitstellen Ihrer Anwendung für Confidential Computing

Voraussetzungen

• Azure CLI Version 2.44.1 oder höher. Führen Sie az --version aus, um die Version zu finden, und führen Sie az upgrade aus, um ein Upgrade für die Version durchzuführen. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.

• Die aks-preview Azure CLI-Erweiterung Version 0.5.169 oder höher.

• Die Azure CLI-Erweiterung von confcom „Vertraulicher Container“ 0.3.3 oder höher. confcom ist erforderlich, um eine Sicherheitsrichtlinie zu generieren.

• Registrieren Sie die Preview-Funktion in Ihrem Azure-Abonnement.

• AKS unterstützt vertrauliche Container (Vorschau) ab Version 1.25.0.

• Eine Workloadidentität und Anmeldeinformationen für die Verbundidentität. Die Anmeldeinformationen für die Workloadidentität ermöglichen Kubernetes-Anwendungen den sicheren Zugriff auf Azure-Ressourcen mit einer Microsoft Entra ID basierend auf kommentierten Dienstkonten. Wenn Sie mit der Microsoft Entra Workload ID nicht vertraut sind, lesen Sie die Übersicht über die Microsoft Entra Workload ID und überprüfen Sie, wie die Workload-Identität mit AKS funktioniert.

• Die Identität, die Sie zum Erstellen Ihres Clusters verwenden, verfügt über die erforderlichen Mindestberechtigungen. Weitere Informationen zu Zugriff und Identität für AKS finden Sie unter Zugriffs- und Identitätsoptionen für Azure Kubernetes Service (AKS).

• Verwenden Sie zum Verwalten eines Kubernetes-Clusters den Kubernetes-Befehlszeilenclient kubectl. kubectl ist in Azure Cloud Shell enthalten. Mit dem Befehl az aks install-cli können Sie kubectl lokal installieren.

• Vertrauliche Container in AKS stellen einen Open Source-Sidecar-Container für den Nachweis und die sichere Schlüsselfreigabe bereit. Der Sidecar-Container ist in einen Schlüsselverwaltungsdienst (Key Management Service, KMS) integriert, z. B. Azure Key Vault, um einen Schlüssel für die Containergruppe freizugeben, nachdem die Überprüfung abgeschlossen wurde. Die Bereitstellung eines vom Azure Key Vault verwalteten HSM (Hardware Security Module) ist optional, wird jedoch empfohlen, die Integrität und Bescheinigung auf Containerebene zu unterstützen. Siehe Bereitstellen und Aktivieren eines verwalteten HSM zum Bereitstellen von verwaltetem HSM.

Installieren der Azure CLI-Erweiterung „aks-preview“

Wichtig

AKS-Previewfunktionen stehen gemäß dem Self-Service- und Aktivierungsprinzip zur Verfügung. Vorschauversionen werden „wie besehen“ und „wie verfügbar“ bereitgestellt und sind von den Vereinbarungen zum Service Level und der eingeschränkten Garantie ausgeschlossen. AKS-Vorschauversionen werden teilweise vom Kundensupport auf Grundlage der bestmöglichen Leistung abgedeckt. Daher sind diese Funktionen nicht für die Verwendung in der Produktion vorgesehen. Weitere Informationen finden Sie in den folgenden Supportartikeln:

• Unterstützungsrichtlinien für Azure Kubernetes Service
• Häufig gestellte Fragen zum Azure-Support

Führen Sie den folgenden Befehl aus, um die Erweiterung „aks-preview“ zu installieren:

az extension add --name aks-preview

Führen Sie den folgenden Befehl aus, um ein Update auf die neueste veröffentlichte Version der Erweiterung durchzuführen:

az extension update --name aks-preview

Installieren der Azure CLI Confcom-Erweiterung

Führen Sie den folgenden Befehl aus, um die Confcom-Erweiterung zu installieren:

az extension add --name confcom

Führen Sie den folgenden Befehl aus, um ein Update auf die neueste veröffentlichte Version der Erweiterung durchzuführen:

az extension update --name confcom

Registrieren des Featureflag KataCcIsolationPreview

Registrieren Sie das Featureflag KataCcIsolationPreview mithilfe des Befehls KataCcIsolationPreview, wie im folgenden Beispiel gezeigt:

az feature register --namespace "Microsoft.ContainerService" --name "KataCcIsolationPreview"

Es dauert einige Minuten, bis der Status Registered (Registriert) angezeigt wird. Überprüfen Sie den Registrierungsstatus mithilfe des Befehls az feature show:

az feature show --namespace "Microsoft.ContainerService" --name "KataCcIsolationPreview"

Wenn der Zustand Registered (Registriert) lautet, aktualisieren Sie die Registrierung des Ressourcenanbieters Microsoft.ContainerService mithilfe des Befehls az provider register:

az provider register --namespace "Microsoft.ContainerService"

Bereitstellen eines neuen Clusters

1. Erstellen Sie einen AKS-Cluster mit dem Befehl az aks create und geben Sie die folgenden Parameter an:

   • --os-sku: AzureLinux. Nur die Azure Linux os-sku unterstützt diese Funktion in dieser Vorschauversion.
   • --node-vm-size: Es ist jede Größe einer Azure VM, die eine VM der Generation 2 ist und geschachtelte Virtualisierung unterstützt, möglich. Beispiel: Standard_DC8as_cc_v5 VMs.
   • --enable-workload-identity: Ermöglicht das Erstellen einer Microsoft Entra Workload ID, mit der Pods eine Kubernetes-Identität verwenden können.
   • --enable-oidc-issuer: Enable OpenID Connect (OIDC)-Aussteller. Es ermöglicht einer Microsoft Entra ID oder einer anderen Cloudanbieteridentitäts- und Zugriffsverwaltungsplattform die Möglichkeit, die öffentlichen Signaturschlüssel des API-Servers zu ermitteln.

   Im folgenden Beispiel wird der Cluster „myAKSCluster“ aktualisiert und ein einzelner Systemknotenpool in der myResourceGroup erstellt:

   az aks create --resource-group myResourceGroup --name myAKSCluster --kubernetes-version <1.25.0 and above> --os-sku AzureLinux --node-vm-size Standard_DC4as_cc_v5 --node-count 1 --enable-oidc-issuer --enable-workload-identity --generate-ssh-keys
   

   Nach wenigen Minuten ist die Ausführung des Befehls abgeschlossen, und es werden Informationen zum Cluster im JSON-Format zurückgegeben. Der im vorherigen Schritt erstellte Cluster verfügt über einen einzelnen Knotenpool. Im nächsten Schritt fügen wir dem Cluster einen zweiten Knotenpool hinzu.

2. Wenn der Cluster bereit ist, rufen Sie die Clusteranmeldeinformationen mithilfe des Befehls az aks get-credentials ab.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

3. Fügen Sie einen Benutzerknotenpool zu myAKSCluster mit zwei Knoten in nodepool2 in der myResourceGroup hinzu, indem Sie den Befehl az aks nodepool hinzufügen verwenden. Geben Sie die folgenden Parameter an:

   • --workload-runtime: Geben Sie KataCcIsolation an, um das Feature „Vertrauliche Container“ im Knotenpool zu aktivieren. Zusammen mit diesem Parameter müssen diese weiteren Parameter die folgenden Anforderungen erfüllen. Andernfalls schlägt der Befehl fehl und meldet ein Problem mit dem/den entsprechenden Parameter(n).
   • --os-sku: AzureLinux. Nur die Azure Linux os-sku unterstützt diese Funktion in dieser Vorschauversion.
   • --node-vm-size: Es ist jede Größe einer Azure VM, die eine VM der Generation 2 ist und geschachtelte Virtualisierung unterstützt, möglich. Beispiel: Standard_DC8as_cc_v5 VMs.

   az aks nodepool add --resource-group myResourceGroup --name nodepool2 --cluster-name myAKSCluster --node-count 2 --os-sku AzureLinux --node-vm-size Standard_DC4as_cc_v5 --workload-runtime KataCcIsolation
   

Nach wenigen Minuten ist die Ausführung des Befehls abgeschlossen, und es werden Informationen zum Cluster im JSON-Format zurückgegeben.

Bereitstellung in einem bestehenden Cluster

Um dieses Feature mit einem vorhandenen AKS-Cluster verwenden zu können, müssen die folgenden Anforderungen erfüllt sein:

• Führen Sie die Schritte aus, um das Featureflag KataCcIsolationPreview zu registrieren.
• Stellen Sie sicher, dass der Cluster die Kubernetes Version 1.25.0 oder höher ausführt.
• Aktivieren Sie die Workloadidentität auf dem Cluster, wenn sie noch nicht vorhanden ist.

Verwenden Sie den folgenden Befehl, um „Vertrauliche Container (Vorschau)“ zu aktivieren, indem Sie einen Knotenpool zum Hosten erstellen.

1. Fügen Sie Ihrem AKS-Cluster mithilfe des Befehls az aks nodepool add einen Knotenpool hinzu. Geben Sie die folgenden Parameter an:

   • --resource-group: Geben Sie den Namen einer vorhandenen Ressourcengruppe ein, in der der AKS-Cluster erstellt werden soll.
   • --cluster-name: Geben Sie einen eindeutigen Namen für den AKS-Cluster ein, z. B. myAKSCluster.
   • --name: Geben Sie einen eindeutigen Namen für den Knotenpool Ihres Clusters ein, z. B. nodepool2.
   • --workload-runtime: Geben Sie KataCcIsolation an, um das Feature im Knotenpool zu aktivieren. Zusammen mit dem Parameter --workload-runtime müssen diese anderen Parameter die folgenden Anforderungen erfüllen. Andernfalls schlägt der Befehl fehl und meldet ein Problem mit dem/den entsprechenden Parameter(n).
   • --os-sku: AzureLinux. Nur die Azure Linux os-sku unterstützt diese Funktion in dieser Vorschauversion.
   • --node-vm-size: Es ist jede Größe einer Azure VM, die eine VM der Generation 2 ist und geschachtelte Virtualisierung unterstützt, möglich. Beispiel: Standard_DC8as_cc_v5 VMs.

   Im folgenden Beispiel wird dem Cluster myAKSCluster ein Benutzerknotenpool mit zwei Knoten in nodepool2 in der Ressourcengruppe myResourceGroup hinzugefügt:

   az aks nodepool add --resource-group myResourceGroup --name nodepool2 –-cluster-name myAKSCluster --node-count 2 --os-sku AzureLinux --node-vm-size Standard_DC4as_cc_v5 --workload-runtime KataCcIsolation
   

   Nach wenigen Minuten ist die Ausführung des Befehls abgeschlossen, und es werden Informationen zum Cluster im JSON-Format zurückgegeben.

2. Führen Sie den Befehl az aks update aus, um „Vertrauliche Container (Vorschau)“ auf dem Cluster zu aktivieren.

   az aks update --name myAKSCluster --resource-group myResourceGroup
   

   Nach wenigen Minuten ist die Ausführung des Befehls abgeschlossen, und es werden Informationen zum Cluster im JSON-Format zurückgegeben.

3. Wenn der Cluster bereit ist, rufen Sie die Clusteranmeldeinformationen mithilfe des Befehls az aks get-credentials ab.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

Container konfigurieren

Bevor Sie den Zugriff auf den Azure Key Vault und den geheimen Schlüssel konfigurieren und eine Anwendung als „Vertraulicher Container“ bereitstellen, müssen Sie die Konfiguration der Workloadidentität abschließen.

Führen Sie zum Konfigurieren der Workload-Identität die folgenden Schritte aus, die m Artikel Bereitstellen und Konfigurieren der Workload-Identität beschrieben sind:

• Abrufen der OIDC-Aussteller-URL
• Erstellen einer verwalteten Identität
• Erstellen eines Kubernetes-Dienstkontos
• Einrichten von Anmeldeinformationen für eine Verbundidentität

Wichtig

Sie müssen die Umgebungsvariablen aus dem Abschnitt Exportieren von Umgebungsvariablen im Artikel Bereitstellen und Konfigurieren der Workloadidentität festlegen, um dieses Tutorial fortzusetzen. Denken Sie daran, die Variable SERVICE_ACCOUNT_NAMESPACE auf kafka festzulegen, und führen Sie den Befehl kubectl create namespace kafka aus, bevor Sie die Workloadidentität konfigurieren.

Bereitstellen einer vertrauenswürdigen Anwendung mit kata-cc und Nachweiscontainer

Die folgenden Schritte konfigurieren die End-to-End-Verschlüsselung für Kafka-Nachrichten mithilfe von Verschlüsselungsschlüsseln, die von Azure Managed Hardware Security Modules (mHSM) verwaltet werden. Der Schlüssel wird nur freigegeben, wenn der Kafka-Consumer innerhalb eines vertraulichen Containers mit einem Azure Attestation-Schlüsselbereitstellungscontainer ausgeführt wird, der in den Pod eingefügt wurde.

Diese Konfiguration basiert auf den folgenden vier Komponenten:

• Kafka Cluster: Ein einfacher Kafka-Cluster, der im Kafka-Namespace auf dem Cluster bereitgestellt wird.
• Kafka Producer: Ein Kafka-Produzent, der als einfacher Kubernetes-Pod läuft und verschlüsselte, vom Benutzer konfigurierte Nachrichten mit einem öffentlichen Schlüssel an ein Kafka-Topic sendet.
• Kafka Consumer: Ein Kafka-Consumer-Pod, der mit der Kata-cc-Runtime ausgeführt wird, ausgestattet mit einem Container für sichere Schlüsselfreigabe, um den privaten Schlüssel zum Entschlüsseln von Kafka-Nachrichten abzurufen und die Nachrichten auf der Webbenutzeroberfläche zu rendern.

Für diese Vorschauversion empfehlen wir Test- und Evaluierungszwecke, um entweder eine vorhandene Azure Key Vault-Ressource der Premiumebene zu erstellen oder zu verwenden, um das Speichern von Schlüsseln in einem Hardwaresicherheitsmodul (Hardware Security Module, HSM) zu unterstützen. Es wird nicht empfohlen, Ihren Schlüsseltresor für die Produktion zu verwenden. Wenn Sie keinen Azure Key Vault haben, finden Sie weitere Informationen unter Erstellen eines Schlüsseltresors mithilfe der Azure CLI.

1. Gewähren Sie der zuvor erstellten verwalteten Identität und Ihrem Konto Zugriff auf den Schlüsseltresor. Weisen Sie beiden Identitäten die Rollen Key Vault Crypto Officer und Key Vault Crypto User Azure RBAC zu.

   Hinweis

   • Die verwaltete Identität ist der Wert, den Sie der Variable USER_ASSIGNED_IDENTITY_NAME zugewiesen haben.

   • Um Rollenzuweisungen hinzuzufügen, müssen Sie über die Berechtigungen Microsoft.Authorization/roleAssignments/write und Microsoft.Authorization/roleAssignments/delete verfügen, z. B. Key Vault Datenzugriffsadministrator*in, Benutzerzugriffsadministrator*in oder Besitzer*in.

   • Sie müssen die Azure Key Vault-SKU „Premium“ zur Unterstützung von HSM-geschützten Schlüsseln verwenden.

   Führen Sie den folgenden Befehl aus, um den Umfang auszuwählen:

   AKV_SCOPE=$(az keyvault show --name <AZURE_AKV_RESOURCE_NAME> --query id --output tsv)
   

   Führen Sie den folgenden Befehl aus, um die Rolle Key Vault Crypto Officer zuzuweisen.

   az role assignment create --role "Key Vault Crypto Officer" --assignee "${USER_ASSIGNED_IDENTITY_NAME}" --scope $AKV_SCOPE
   

   Führen Sie den folgenden Befehl aus, um die Rolle Key Vault Crypto User zuzuweisen.

   az role assignment create --role "Key Vault Crypto User" --assignee "${USER_ASSIGNED_IDENTITY_NAME}" --scope $AKV_SCOPE
   

2. Installieren Sie den Kafka-Cluster im Kafka-Namespace, indem Sie den folgenden Befehl ausführen:

   kubectl create -f 'https://strimzi.io/install/latest?namespace=kafka' -n kafka
   

3. Führen Sie den folgenden Befehl aus, um die Cluster-CR-Datei kafka anzuwenden.

   kubectl apply -f https://strimzi.io/examples/latest/kafka/kafka-persistent-single.yaml -n kafka
   

4. Bereiten Sie den RSA-Schlüssel für die Verschlüsselung/Entschlüsselung vor, indem Sie das Bash-Skript für die Workload von GitHub verwenden. Speichern Sie die Datei unter dem Namen setup-key.sh.

5. Legen Sie die Umgebungsvariable MAA_ENDPOINT mit dem FQDN des Attest-URI fest, indem Sie den folgenden Befehl ausführen.

   export MAA_ENDPOINT="$(az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup" --query 'attestUri' -o tsv | cut -c 9-)"
   

   Überprüfen Sie, ob der FQDN des Attest-URI im richtigen Format vorliegt (MAA_ENDPOINT sollte nicht das Präfix „https://“ enthalten):

   echo $MAA_ENDPOINT
   

   Hinweis

   Informationen zum Einrichten von Microsoft Azure Attestation finden Sie unter Schnellstart: Einrichten von Azure Attestation mit Azure CLI.

6. Kopieren Sie das folgende YAML-Manifest, und speichern Sie es unter consumer.yaml.

   apiVersion: v1
   kind: Pod
   metadata:
     name: kafka-golang-consumer
     namespace: kafka
     labels:
       azure.workload.identity/use: "true"
       app.kubernetes.io/name: kafka-golang-consumer
   spec:
     serviceAccountName: workload-identity-sa
     runtimeClassName: kata-cc-isolation
     containers:
       - image: "mcr.microsoft.com/aci/skr:2.7"
         imagePullPolicy: Always
         name: skr
         env:
           - name: SkrSideCarArgs
             value: ewogICAgImNlcnRjYWNoZSI6IHsKCQkiZW5kcG9pbnRfdHlwZSI6ICJMb2NhbFRISU0iLAoJCSJlbmRwb2ludCI6ICIxNjkuMjU0LjE2OS4yNTQvbWV0YWRhdGEvVEhJTS9hbWQvY2VydGlmaWNhdGlvbiIKCX0gIAp9
         command:
           - /bin/skr
         volumeMounts:
           - mountPath: /opt/confidential-containers/share/kata-containers/reference-info-base64
             name: endor-loc
       - image: "mcr.microsoft.com/acc/samples/kafka/consumer:1.0"
         imagePullPolicy: Always
         name: kafka-golang-consumer
         env:
           - name: SkrClientKID
             value: kafka-encryption-demo
           - name: SkrClientMAAEndpoint
             value: sharedeus2.eus2.test.attest.azure.net
           - name: SkrClientAKVEndpoint
             value: "myKeyVault.vault.azure.net"
           - name: TOPIC
             value: kafka-demo-topic
         command:
           - /consume
         ports:
           - containerPort: 3333
             name: kafka-consumer
         resources:
           limits:
             memory: 1Gi
             cpu: 200m
     volumes:
       - name: endor-loc
         hostPath:
           path: /opt/confidential-containers/share/kata-containers/reference-info-base64
   ---
   apiVersion: v1
   kind: Service
   metadata:
     name: consumer
     namespace: kafka
   spec:
     type: LoadBalancer
     selector:
       app.kubernetes.io/name: kafka-golang-consumer
     ports:
       - protocol: TCP
         port: 80
         targetPort: kafka-consumer
   

   Hinweis

   Aktualisieren Sie den Wert für die Pod-Umgebungsvariable SkrClientAKVEndpoint so, dass er mit der URL Ihres Azure Key Vault ohne den Protokollwert https:// übereinstimmt. Der aktuelle Wertplatzhalterwert ist myKeyVault.vault.azure.net. Aktualisieren Sie den Wert für die Pod-Umgebungsvariable SkrClientMAAEndpoint mit dem Wert MAA_ENDPOINT. Sie können den Wert von MAA_ENDPOINT finden, indem Sie den Befehl echo $MAA_ENDPOINT oder den Befehl az attestation show --name "myattestationprovider" --resource-group "MyResourceGroup" --query 'attestUri' -o tsv | cut -c 9- ausführen.

7. Generieren Sie die Sicherheitsrichtlinie für das YAML-Manifest des Kafka-Verbrauchers, und rufen Sie den Hash der in der Variable WORKLOAD_MEASUREMENT gespeicherten Sicherheitsrichtlinie ab, indem Sie den folgenden Befehl ausführen:

   export WORKLOAD_MEASUREMENT=$(az confcom katapolicygen -y consumer.yaml --print-policy | base64 -d | sha256sum | cut -d' ' -f1)
   

8. Um ein RSA-asymmetrisches Schlüsselpaar (öffentliche und private Schlüssel) zu generieren, führen Sie das Skript setup-key.sh mit dem folgenden Befehl aus. Der <Azure Key Vault URL>-Wert sollte <your-unique-keyvault-name>.vault.azure.net lauten

   export MANAGED_IDENTITY=${USER_ASSIGNED_CLIENT_ID}
   bash setup-key.sh "kafka-encryption-demo" <Azure Key Vault URL>
   

   Hinweis

   • Die Umgebungsvariable MANAGED_IDENTITY ist für das bash-Skript setup-key.sh erforderlich.

   • Der öffentliche Schlüssel wird nach der Ausführung des bash-Skripts unter dem Namen kafka-encryption-demo-pub.pem gespeichert.

   Wichtig

   Wenn der Fehler ForbiddenByRbac ausgegeben wird, müssen Sie möglicherweise bis zu 24 Stunden warten, da die Back-End-Dienste für verwaltete Identitäten einen Cache pro Ressourcen-URI bis zu 24 Stunden lang aufrechterhalten. Weitere Informationen finden Sie auch unter Behandeln von Problemen bei Azure RBAC.

9. Führen Sie die folgenden Befehle aus, um zu überprüfen, ob die Schlüssel erfolgreich in den Schlüsseltresor hochgeladen wurden:

   az account set --subscription <Subscription ID>
   az keyvault key list --vault-name <KeyVault Name> -o table
   

10. Kopieren Sie das folgende YAML-Manifest, und speichern Sie es unter producer.yaml.

    apiVersion: v1
    kind: Pod
    metadata:
      name: kafka-producer
      namespace: kafka
    spec:
      containers:
        - image: "mcr.microsoft.com/acc/samples/kafka/producer:1.0"
          name: kafka-producer
          command:
            - /produce
          env:
            - name: TOPIC
              value: kafka-demo-topic
            - name: MSG
              value: "Azure Confidential Computing"
            - name: PUBKEY
              value: |-
                -----BEGIN PUBLIC KEY-----
                MIIBojAN***AE=
                -----END PUBLIC KEY-----
          resources:
            limits:
              memory: 1Gi
              cpu: 200m
    

    Hinweis

    Aktualisieren Sie den Wert, der mit der Zeichenfolge -----BEGIN PUBLIC KEY----- beginnt und mit der Zeichenfolge -----END PUBLIC KEY----- endet, mit dem Inhalt aus der Dateikafka-encryption-demo-pub.pem, die im vorherigen Schritt erstellt wurde.

11. Verteilen Sie die YAML-Manifeste consumer und producer unter Verwendung der zuvor gespeicherten Dateien.

    kubectl apply -f consumer.yaml
    

    kubectl apply -f producer.yaml
    

12. Rufen Sie die IP-Adresse des Webdiensts mithilfe des folgenden Befehls ab:

    kubectl get svc consumer -n kafka
    

13. Kopieren Sie die externe IP-Adresse des Verbraucherdiensts in Ihren Browser, und beobachten Sie die entschlüsselte Nachricht.

    Die Ausgabe des Befehls ähnelt dem folgenden Beispiel:

    Welcome to Confidential Containers on AKS!
    Encrypted Kafka Message:
    Msg 1: Azure Confidential Computing
    

14. Sie sollten auch versuchen, den Consumer als regulären Kubernetes-Pod auszuführen, indem Sie die Spezifikationen skr container und kata-cc runtime class entfernen. Da Sie den Consumer nicht mit der Kata-cc-Runtimeklasse ausführen, benötigen Sie die Richtlinie nicht mehr.

15. Entfernen Sie die gesamte Richtlinie, und beobachten Sie die Nachrichten erneut im Browser, nachdem Sie die Workload erneut bereitgestellt haben. Nachrichten werden als base64-codierter Verschlüsselungstext angezeigt, da der private Verschlüsselungsschlüssel nicht abgerufen werden kann. Der Schlüssel kann nicht abgerufen werden, da der Verbraucher nicht mehr in einer vertraulichen Umgebung ausgeführt wird und die skr container-Entschlüsselung von Nachrichten fehlt.

Bereinigen

Wenn Sie mit der Erkundung dieses Features fertig sind, sollten Sie Ihre unnötigen Ressourcen bereinigen, um Azure-Gebühren zu vermeiden. Wenn Sie im Rahmen Ihrer Erkundung oder Ihres Tests einen neuen Cluster bereitgestellt haben, können Sie den Cluster mithilfe des Befehls az aks delete löschen.

az aks delete --resource-group myResourceGroup --name myAKSCluster

Wenn Sie „Vertrauliche Container (Vorschau)“ für einen vorhandenen Cluster aktiviert haben, können Sie die Pods mithilfe des Befehls kubectl delete pod entfernen.

kubectl delete pod pod-name

Nächste Schritte

• Erfahren Sie mehr über Azure Dedicated Hosts für Knoten mit Ihrem AKS-Cluster, um Hardwareisolation und Kontrolle über Wartungsereignisse der Azure-Plattform zu verwenden.