Unterstützung vertraulicher VM-Knotenpools auf AKS mit vertraulichen AMD SEV-SNP-VMs
Mit Azure Kubernetes Service (AKS) können Sie ganz einfach einen Managed Kubernetes-Cluster in Azure bereitstellen. In AKS werden Knoten mit der gleichen Konfiguration in Knotenpools gruppiert. Diese Knotenpools enthalten die zugrunde liegenden virtuellen Computer, die Ihre Anwendungen ausführen.
AKS unterstützt jetzt vertrauliche VM-Knotenpools mit vertraulichen Azure-VMs. Diese vertraulichen VMs sind die allgemein verfügbaren vertraulichen VMs der DCasv5- und ECasv5-Serie, die AMD EPYCTM-Prozessoren der 3. Generation mit SEV-SNP-Sicherheitsfeatures (Secure Encrypted Virtualization-Secure Nested Paging) verwenden. Weitere Informationen zu diesem Angebot finden Sie in unserer Ankündigung.
Vorteile
Vertrauliche Knotenpools nutzen VMs mit einer hardwarebasierten Trusted Execution Environment (TEE). Vertrauliche AMD SEV-SNP-VMs verweigern den Zugriff von Hypervisor- und anderem Hostverwaltungscode auf VM-Arbeitsspeicher und -Status, und fügen tiefgehenden Schutz vor Operatorzugriff hinzu.
Zusätzlich zum gehärteten Sicherheitsprofil ermöglichen vertrauliche Knotenpools auf AKS zudem Folgendes:
- Lift & Shift mit vollständiger Unterstützung der AKS-Features, um ein nahtloses Lift & Shift von Linux-Containerworkloads zu ermöglichen
- Heterogene Knotenpools – zum Speichern vertraulicher Daten in einem TEE-Knotenpool auf VM-Ebene mit Arbeitsspeicher-Verschlüsselungsschlüsseln, die vom Chipsatz selbst generiert werden
- Dokumentieren Sie kryptografisch, dass Ihr Code mit einer Anwendung auf AMD-SEV-SNP-Hardware ausgeführt wird, um den Hardwarenachweisbericht zu generieren.
Mit dieser Schnellstartanleitungfinden Sie den Einstieg und fügen vertrauliche Knotenpools zu einem vorhandenen AKS-Cluster hinzu.
Fragen?
Wenn Sie Fragen zu Containerangeboten haben, wenden Sie sich bitte an acconaks@microsoft.com.
Nächste Schritte
- Bereitstellen eines vertraulichen Knotenpools in Ihrem AKS-Cluster
- Erfahren Sie mehr über Größen und Spezifikationen für universelle und arbeitsspeicheroptimierte vertrauliche VMs.