Az Azure Kubernetes Service (AKS) megbízható indítása (előzetes verzió)

A megbízható indítás (előzetes verzió) a fejlett és állandó támadási technikák elleni védelemmel javítja a 2. generációs virtuális gépek (virtuális gépek) biztonságát. Lehetővé teszi a rendszergazdák számára az alapul szolgáló virtuális gépeket tartalmazó AKS-csomópontok üzembe helyezését ellenőrzött és aláírt rendszerindítókkal, operációsrendszer-kernelekkel és illesztőprogramokkal. A biztonságos és mért rendszerindítás használatával a rendszergazdák betekintést nyerhetnek a teljes rendszerindítási lánc integritásába.

Ez a cikk segít megérteni ezt az új funkciót, és annak implementálását.

Áttekintés

A megbízható indítás több, egymástól függetlenül engedélyezhető, koordinált infrastruktúra-technológiából áll. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen.

• vTPM – A megbízható indítás egy hardveres megbízható platformmodul (TPM) virtualizált verzióját mutatja be, amely megfelel a TPM 2.0 specifikációjának. Dedikált biztonságos tárolóként szolgál kulcsokhoz és mérésekhez. A megbízható indítás saját dedikált TPM-példányt biztosít a virtuális gép számára, amely biztonságos környezetben fut bármely virtuális gép elérésén kívül. A vTPM a virtuális gép teljes rendszerindítási láncának (UEFI, operációs rendszer, rendszer és illesztőprogramok) mérésével teszi lehetővé az igazolást . A megbízható indítás a vTPM használatával végzi el a távoli igazolást a felhőben. A platformállapot-ellenőrzésekhez és a megbízhatóságon alapuló döntések meghozatalához használatos. Állapot-ellenőrzésként a megbízható indítás képes kriptográfiailag igazolni, hogy a virtuális gép megfelelően indult el. Ha a folyamat meghiúsul, esetleg azért, mert a virtuális gép jogosulatlan összetevőt futtat, Felhőhöz készült Microsoft Defender integritási riasztásokat ad ki. A riasztások tartalmazzák azokat a részleteket, amelyek alapján az összetevők nem sikerültek az integritás-ellenőrzéseknek.

• Biztonságos rendszerindítás – A megbízható indítás gyökere a virtuális gép biztonságos rendszerindítása. Ez a platform belső vezérlőprogramjában implementált mód védelmet nyújt a kártevőalapú rootkitek és rendszerindító készletek telepítésével szemben. A biztonságos rendszerindítással biztosítható, hogy csak aláírt operációs rendszerek és illesztőprogramok indulhassanak el. Létrehozza a virtuális gép szoftververemének "megbízhatósági gyökerét". Ha engedélyezve van a biztonságos rendszerindítás, minden operációsrendszer-rendszerindítási összetevőt (rendszertöltő, kernel- és kernelillesztő) megbízható közzétevőknek kell aláírnia. A Windows és a linuxos disztribúciók egyaránt támogatják a biztonságos rendszerindítást. Ha a biztonságos rendszerindítás nem tudja hitelesíteni a megbízható közzétevő által aláírt rendszerképet, a virtuális gép nem indítható el. További információ: Biztonságos rendszerindítás.

Mielőtt elkezdené

• Az Azure CLI 2.44.1-es vagy újabb verziója. Futtassa az --version a verziót, és futtassa az upgrade a verzió frissítéséhez. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.

• Az aks-preview Azure CLI-bővítmény 1.0.0b6-os vagy újabb verziója.

• Regisztrálja a TrustedLaunchPreview funkciót az Azure-előfizetésében.

• Az AKS támogatja a megbízható indítást (előzetes verzió) az 1.25.2-es és újabb verzióban.

• A megbízható indítás csak az Azure 2. generációs virtuális gépeket támogatja.

• A biztonságos rendszerindításhoz aláírt rendszerindítási betöltőkre, operációsrendszer-kernelekre és illesztőprogramokra van szükség.

Az aks-preview Azure CLI-bővítmény telepítése

Fontos

Az AKS előzetes verziójú funkciói önkiszolgáló, opt-in alapon érhetők el. Az előzetes verziókat "ahogy van" és "rendelkezésre állóként" biztosítjuk, és a szolgáltatási szerződésekből és a korlátozott jótállásból kizárjuk őket. Az AKS előzetes verzióit részben az ügyfélszolgálat fedezi a legjobb munkamennyiség alapján. Ezért ezek a funkciók nem éles használatra vannak szánva. További információkért tekintse meg az alábbi támogatási cikkeket:

• AKS támogatási politikák
• Azure-támogatás gyakori kérdések

Az aks-preview bővítmény telepítéséhez futtassa a következő parancsot:

az extension add --name aks-preview

Futtassa a következő parancsot a bővítmény legújabb verziójára való frissítéshez:

az extension update --name aks-preview

A TrustedLaunchPreview funkciójelző regisztrálása

Regisztrálja a TrustedLaunchPreview funkciójelzőt az az feature register paranccsal, ahogyan az az alábbi példában látható:

az feature register --namespace "Microsoft.ContainerService" --name "TrustedLaunchPreview"

Néhány percig tart, amíg az állapot megjelenik a Regisztrált állapotban. Ellenőrizze a regisztrációs állapotot az az feature show paranccsal:

az feature show --namespace "Microsoft.ContainerService" --name "TrustedLaunchPreview"

Ha az állapot a Regisztrált állapotot tükrözi, frissítse a Microsoft.ContainerService erőforrás-szolgáltató regisztrációját az az provider register paranccsal:

az provider register --namespace "Microsoft.ContainerService"

Korlátozások

• A Windows Server operációs rendszert futtató fürtcsomópontok nem támogatottak.
• A megbízható indítás (előzetes verzió) nem támogatja a FIPS-kompatibilis vagy ARM64-alapú csomópontkészleteket.
• A rendelkezésre állási csoportok nem támogatottak, csak a virtuálisgép-méretezési csoportok.
• A GPU-csomópontkészletek biztonságos rendszerindításának engedélyezéséhez ki kell hagynia a GPU-illesztő telepítését. További információt a GPU-illesztőprogram telepítésének kihagyása című témakörben talál.
• Rövid élettartamú operációsrendszer-lemezek hozhatók létre megbízható indítással, és minden régió támogatott. Azonban nem minden virtuális gép mérete támogatott. További információ: A megbízható indítás rövid élettartamú operációsrendszer-méretei.

Új fürt üzembe helyezése

Hajtsa végre az alábbi lépéseket egy AKS-fürt üzembe helyezéséhez az Azure CLI használatával.

1. Hozzon létre egy AKS-fürtöt az az aks create paranccsal. A parancs futtatása előtt tekintse át a következő paramétereket:

   • --name: Adjon meg egy egyedi nevet az AKS-fürtnek, például a myAKSClusternek.
   • --resource-group: Adja meg egy meglévő erőforráscsoport nevét az AKS-fürterőforrás üzemeltetéséhez.
   • --enable-secure-boot: Engedélyezi a biztonságos rendszerindítást egy megbízható közzétevő által aláírt rendszerkép hitelesítéséhez.
   • --enable-vtpm: Engedélyezi a vTPM-et, és a virtuális gép teljes rendszerindítási láncának mérésével elvégzi az igazolást.

   Feljegyzés

   A biztonságos rendszerindításhoz aláírt rendszerindítási betöltőkre, operációsrendszer-kernelekre és illesztőprogramokra van szükség. Ha a biztonságos rendszerindítás engedélyezése után a csomópontok nem indulnak el, ellenőrizheti, hogy mely rendszerindító összetevők felelősek a biztonságos rendszerindítási hibákért egy Azure Linux rendszerű virtuális gépen. Tekintse meg a biztonságos rendszerindítási hibák ellenőrzését.

   Az alábbi példa létrehoz egy myAKSCluster nevű fürtöt a myResourceGroup egy csomópontjával, és engedélyezi a biztonságos rendszerindítást és a vTPM-et:

   az aks create --name myAKSCluster --resource-group myResourceGroup --node-count 1 --enable-secure-boot --enable-vtpm --enable-managed-identity --generate-ssh-keys
   

2. Futtassa a következő parancsot a Kubernetes-fürt hozzáférési hitelesítő adatainak lekéréséhez. Használja az az aks get-credentials parancsot , és cserélje le a fürt nevének és az erőforráscsoport nevének értékeit.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

Csomópontkészlet hozzáadása engedélyezett megbízható indítással

Helyezzen üzembe egy olyan csomópontkészletet, amelyen engedélyezve van a megbízható indítás az az aks nodepool add paranccsal. A parancs futtatása előtt tekintse át a következő paramétereket:

• --cluster-name: Adja meg az AKS-fürt nevét.
• --resource-group: Adja meg egy meglévő erőforráscsoport nevét az AKS-fürterőforrás üzemeltetéséhez.
• --name: Adjon meg egy egyedi nevet a csomópontkészletnek. A csomópontkészlet neve csak kisbetűs alfanumerikus karaktereket tartalmazhat, és kisbetűvel kell kezdődnie. Linux-csomópontkészletek esetén a hossznak 1–11 karakternek kell lennie.
• --node-count: A Kubernetes-ügynökkészlet csomópontjainak száma. Az alapértelmezett érték 3.
• --enable-secure-boot: Engedélyezi a biztonságos rendszerindítást egy megbízható közzétevő által aláírt rendszerkép hitelesítéséhez.
• --enable-vtpm: Engedélyezi a vTPM-et, és a virtuális gép teljes rendszerindítási láncának mérésével elvégzi az igazolást.

Feljegyzés

A biztonságos rendszerindításhoz aláírt rendszerindítási betöltőkre, operációsrendszer-kernelekre és illesztőprogramokra van szükség. Ha a biztonságos rendszerindítás engedélyezése után a csomópontok nem indulnak el, ellenőrizheti, hogy mely rendszerindító összetevők felelősek a biztonságos rendszerindítási hibákért egy Azure Linux rendszerű virtuális gépen. Tekintse meg a biztonságos rendszerindítási hibák ellenőrzését.

Az alábbi példa egy három csomópontot tartalmazó myAKSCluster nevű fürtön üzembe helyez egy vTPM-kompatibilis csomópontkészletet:

az aks nodepool add --resource-group myResourceGroup -–cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm  

Az alábbi példa egy olyan csomópontkészletet helyez üzembe, amelyen a vTPM és a Biztonságos rendszerindítás engedélyezve van egy myAKSCluster nevű, három csomópontot tartalmazó fürtön:

az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot

Fürt frissítése és a megbízható indítás engedélyezése

Frissítsen egy csomópontkészletet az az aks nodepool update paranccsal engedélyezett megbízható indítással. A parancs futtatása előtt tekintse át a következő paramétereket:

• --resource-group: Adja meg a meglévő AKS-fürtöt üzemeltető meglévő erőforráscsoport nevét.
• --cluster-name: Adjon meg egy egyedi nevet az AKS-fürtnek, például a myAKSClusternek.
• --name: Adja meg a csomópontkészlet nevét, például a mynodepoolt.
• --enable-secure-boot: Engedélyezi a biztonságos rendszerindítást annak hitelesítésére, hogy a rendszerképet egy megbízható közzétevő írta alá.
• --enable-vtpm: Engedélyezi a vTPM-et, és a virtuális gép teljes rendszerindítási láncának mérésével elvégzi az igazolást.

Feljegyzés

A meglévő csomópontkészletnek megbízható indítási lemezképet kell használnia ahhoz, hogy engedélyezve legyen egy meglévő csomópontkészleten. Ezért a szolgáltatás regisztrálása előtt létrehozott csomópontkészletek esetében nem frissítheti őket, ha engedélyezve van a TrustedLaunchPreview megbízható indítás.

Alapértelmezés szerint egy TL-kompatibilis konfigurációval rendelkező csomópontkészlet létrehozása és a szolgáltatásjelző regisztrált eredménye egy megbízható indítási rendszerkép. A paraméterek megadása vagy --enable-secure-boot megadása --enable-vtpm nélkül ezek alapértelmezés szerint le vannak tiltva, és később engedélyezheti őket a parancs használatávalaz aks nodepool update.

Feljegyzés

A biztonságos rendszerindításhoz aláírt rendszerindítási betöltőkre, operációsrendszer-kernelekre és illesztőprogramokra van szükség. Ha a biztonságos rendszerindítás engedélyezése után a csomópontok nem indulnak el, ellenőrizheti, hogy mely rendszerindító összetevők felelősek a biztonságos rendszerindítási hibákért egy Azure Linux rendszerű virtuális gépen. Tekintse meg a biztonságos rendszerindítási hibák ellenőrzését.

Az alábbi példa frissíti a myREsourceGroup myAKSCluster myAKSCluster csomópontkészletét, és engedélyezi a biztonságos rendszerindítást és a vTPM-et:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot --enable-vtpm 

Podok hozzárendelése olyan csomópontokhoz, amelyeken engedélyezve van a megbízható indítás

Korlátozhatja a podokat, és korlátozhatja egy adott csomóponton vagy csomóponton való futtatásra, illetve a megbízható indítást engedélyező csomópontok előnyben részesítésére. Ezt a podjegyzékben található alábbi csomópontkészlet-választóval szabályozhatja.

VTPM-et futtató csomópontkészlet esetén alkalmazza a következőket:

spec:
  nodeSelector:
        kubernetes.azure.com/trusted-launch: true

Biztonságos rendszerindítást futtató csomópontkészlet esetén alkalmazza a következőket:

spec:
  nodeSelector:
        kubernetes.azure.com/secure-boot: true

Biztonságos rendszerindítás letiltása

Ha le szeretné tiltani a biztonságos rendszerindítást egy AKS-fürtön, futtassa a következő parancsot:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot 

Feljegyzés

Frissítések automatikusan elindít egy csomópont-újraépítést, és ez a művelet csomópontonként több percet is igénybe vehet.

A vTPM letiltása

Ha le szeretné tiltani a vTPM-et egy AKS-fürtön, futtassa a következő parancsot:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

Következő lépések

Ebben a cikkben megtanulta, hogyan engedélyezheti a megbízható indítást. További információ a megbízható indításról.