Peluncuran tepercaya (pratinjau) untuk Azure Kubernetes Service (AKS)

Peluncuran tepercaya (pratinjau) meningkatkan keamanan komputer virtual (VM) generasi 2 dengan melindungi dari teknik serangan tingkat lanjut dan persisten. Ini memungkinkan administrator untuk menyebarkan simpul AKS, yang berisi komputer virtual yang mendasar, dengan bootloader terverifikasi dan ditandatangani, kernel OS, dan driver. Dengan menggunakan boot yang aman dan terukur, administrator mendapatkan wawasan dan kepercayaan diri dari seluruh integritas rantai boot.

Artikel ini membantu Anda memahami fitur baru ini, dan cara menerapkannya.

Gambaran Umum

Peluncuran tepercaya terdiri dari beberapa teknologi infrastruktur terkoordinasi yang dapat diaktifkan secara independen. Setiap teknologi menyediakan lapisan pertahanan lain terhadap ancaman canggih.

• vTPM - Peluncuran tepercaya memperkenalkan versi virtual Modul Platform Tepercaya (TPM) perangkat keras, sesuai dengan spesifikasi TPM 2.0. Ini berfungsi sebagai brankas aman khusus untuk kunci dan pengukuran. Peluncuran tepercaya memberi VM Anda instans TPM khusus sendiri, yang berjalan di lingkungan yang aman di luar jangkauan VM mana pun. vTPM memungkinkan pengesahan dengan mengukur seluruh rantai boot VM Anda (UEFI, OS, sistem, dan driver). Peluncuran tepercaya menggunakan vTPM untuk melakukan pengesahan jarak jauh oleh cloud. Ini digunakan untuk pemeriksaan kesehatan platform dan untuk membuat keputusan berbasis kepercayaan. Saat pemeriksaan kesehatan, peluncuran tepercaya dapat secara kriptografi menyatakan bahwa VM Anda di-boot dengan benar. Jika proses gagal, mungkin karena VM Anda menjalankan komponen yang tidak sah, Microsoft Defender untuk Cloud mengeluarkan pemberitahuan integritas. Pemberitahuan tersebut menyertakan detail tempat komponen gagal melewati pemeriksaan integritas.

• Boot Aman - Di akar peluncuran tepercaya adalah Boot Aman untuk VM Anda. Mode ini, yang diterapkan di firmware platform, melindungi dari penginstalan rootkit dan boot kit berbasis malware. Boot Aman berfungsi untuk memastikan bahwa hanya sistem operasi dan driver yang ditandatangani yang dapat melakukan booting. Ini menetapkan "akar kepercayaan" untuk tumpukan perangkat lunak pada VM Anda. Dengan Boot Aman diaktifkan, semua komponen boot OS (pemuat boot, kernel, driver kernel) harus ditandatangani oleh penerbit tepercaya. Windows dan distribusi Linux tertentu mendukung Boot Aman. Jika Boot Aman gagal mengautentikasi gambar yang ditandatangani oleh penerbit tepercaya, VM tidak diizinkan untuk boot. Untuk informasi selengkapnya, lihat Boot Aman.

Sebelum Anda mulai

• Azure CLI versi 2.44.1 atau yang lebih baru. Jalankan az --version untuk menemukan versi, dan jalankan az upgrade untuk meningkatkan versi. Jika Anda perlu memasang atau meningkatkan, lihat Memasang Azure CLI.

• aks-preview Ekstensi Azure CLI versi 1.0.0b6 atau yang lebih baru.

• Daftarkan TrustedLaunchPreview fitur di langganan Azure Anda.

• AKS mendukung peluncuran tepercaya (pratinjau) pada versi 1.25.2 dan yang lebih tinggi.

• Peluncuran Tepercaya hanya mendukung VM Azure Generasi 2.

• Boot Aman memerlukan boot loader, kernel OS, dan driver yang ditandatangani.

Menginstal ekstensi Azure CLI pratinjau aks

Penting

Fitur pratinjau AKS tersedia berdasarkan layanan mandiri. Pratinjau disediakan "apa adanya" dan "sebagaimana tersedia," dan mereka dikecualikan dari perjanjian tingkat layanan dan garansi terbatas. Pratinjau AKS sebagian dicakup oleh dukungan pelanggan berdasarkan upaya terbaik. Dengan demikian, fitur-fitur ini tidak dimaksudkan untuk penggunaan produksi. Untuk informasi lebih lanjut, lihat artikel dukungan berikut ini:

• Kebijakan dukungan AKS
• Tanya Jawab Umum dukungan Azure

Untuk menginstal ekstensi aks-preview, jalankan perintah berikut:

az extension add --name aks-preview

Jalankan perintah berikut untuk memperbarui ke versi terbaru ekstensi yang dirilis:

az extension update --name aks-preview

Daftarkan bendera fitur TrustedLaunchPreview

Daftarkan TrustedLaunchPreview bendera fitur dengan menggunakan perintah daftar fitur az, seperti yang ditunjukkan dalam contoh berikut:

az feature register --namespace "Microsoft.ContainerService" --name "TrustedLaunchPreview"

Dibutuhkan beberapa menit agar status menampilkan Terdaftar. Verifikasi status pendaftaran dengan menggunakan perintah az feature show :

az feature show --namespace "Microsoft.ContainerService" --name "TrustedLaunchPreview"

Saat status mencerminkan Terdaftar, refresh pendaftaran penyedia sumber daya Microsoft.ContainerService dengan menggunakan perintah az provider register :

az provider register --namespace "Microsoft.ContainerService"

Batasan

• Node kluster yang menjalankan sistem operasi Windows Server tidak didukung.
• Peluncuran tepercaya (pratinjau) tidak mendukung kumpulan simpul dengan FIPS diaktifkan atau berdasarkan ARM64.
• Set ketersediaan tidak didukung, hanya Virtual Machine Scale Sets.
• Untuk mengaktifkan Boot Aman pada kumpulan simpul GPU, Anda perlu melewati penginstalan driver GPU. Untuk informasi selengkapnya, lihatMelewati penginstalan driver GPU.
• Disk OS Ephemeral dapat dibuat dengan peluncuran Tepercaya dan semua wilayah didukung. Namun, tidak semua ukuran komputer virtual didukung. Untuk informasi selengkapnya, lihat Ukuran OS ephemeral peluncuran tepercaya.

Menyebarkan kluster baru

Lakukan langkah-langkah berikut untuk menyebarkan kluster AKS menggunakan Azure CLI.

1. Buat kluster AKS menggunakan perintahaz.aks.create. Sebelum menjalankan perintah, tinjau parameter berikut:

   • --name: Masukkan nama unik untuk kluster AKS, seperti myAKSCluster.
   • --resource-group: Masukkan nama grup sumber daya yang ada untuk menghosting sumber daya kluster AKS.
   • --enable-secure-boot: Memungkinkan Boot Aman untuk mengautentikasi gambar yang ditandatangani oleh penerbit tepercaya.
   • --enable-vtpm: Mengaktifkan vTPM dan melakukan pengesahan dengan mengukur seluruh rantai boot VM Anda.

   Catatan

   Boot Aman memerlukan boot loader, kernel OS, dan driver yang ditandatangani. Jika setelah mengaktifkan Boot Aman simpul Anda tidak dimulai, Anda dapat memverifikasi komponen boot mana yang bertanggung jawab atas kegagalan Boot Aman dalam Azure Linux Virtual Machine. Lihat memverifikasi kegagalan Boot Aman.

   Contoh berikut membuat kluster bernama myAKSCluster dengan satu node di myResourceGroup, dan mengaktifkan Boot Aman dan vTPM:

   az aks create --name myAKSCluster --resource-group myResourceGroup --node-count 1 --enable-secure-boot --enable-vtpm --enable-managed-identity --generate-ssh-keys
   

2. Jalankan perintah berikut untuk mendapatkan kredensial akses untuk kluster Kubernetes. Gunakan perintah az aks get-credentials dan ganti nilai untuk nama kluster dan nama grup sumber daya.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

Menambahkan kumpulan simpul dengan peluncuran tepercaya diaktifkan

Sebarkan kumpulan simpul dengan peluncuran tepercaya diaktifkan menggunakan perintah az aks nodepool add . Sebelum menjalankan perintah, tinjau parameter berikut:

• --cluster-name: Masukkan nama kluster AKS.
• --resource-group: Masukkan nama grup sumber daya yang ada untuk menghosting sumber daya kluster AKS.
• --name: Masukkan nama unik untuk kumpulan simpul. Nama kumpulan simpul hanya boleh berisi karakter alfanumerik huruf kecil dan harus dimulai dengan huruf kecil. Untuk kumpulan simpul Linux, panjangnya harus antara 1-11 karakter.
• --node-count: Jumlah simpul di kumpulan agen Kubernetes. Defaultnya adalah 3.
• --enable-secure-boot: Memungkinkan Boot Aman untuk mengautentikasi gambar yang ditandatangani oleh penerbit tepercaya.
• --enable-vtpm: Mengaktifkan vTPM dan melakukan pengesahan dengan mengukur seluruh rantai boot VM Anda.

Catatan

Boot Aman memerlukan boot loader, kernel OS, dan driver yang ditandatangani. Jika setelah mengaktifkan Boot Aman simpul Anda tidak dimulai, Anda dapat memverifikasi komponen boot mana yang bertanggung jawab atas kegagalan Boot Aman dalam Azure Linux Virtual Machine. Lihat memverifikasi kegagalan Boot Aman.

Contoh berikut menyebarkan kumpulan simpul dengan vTPM diaktifkan pada kluster bernama myAKSCluster dengan tiga simpul:

az aks nodepool add --resource-group myResourceGroup -–cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm  

Contoh berikut menyebarkan kumpulan simpul dengan vTPM dan Boot Aman diaktifkan pada kluster bernama myAKSCluster dengan tiga simpul:

az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot

Memperbarui kluster dan mengaktifkan peluncuran tepercaya

Perbarui kumpulan simpul dengan peluncuran tepercaya diaktifkan menggunakan perintah az aks nodepool update . Sebelum menjalankan perintah, tinjau parameter berikut:

• --resource-group: Masukkan nama grup sumber daya yang ada yang menghosting kluster AKS Anda yang ada.
• --cluster-name: Masukkan nama unik untuk kluster AKS, seperti myAKSCluster.
• --name: Masukkan nama kumpulan simpul Anda, seperti mynodepool.
• --enable-secure-boot: Memungkinkan Boot Aman untuk mengautentikasi bahwa gambar ditandatangani oleh penerbit tepercaya.
• --enable-vtpm: Mengaktifkan vTPM dan melakukan pengesahan dengan mengukur seluruh rantai boot VM Anda.

Catatan

Nodepool yang ada harus menggunakan gambar peluncuran tepercaya untuk mengaktifkan pada kumpulan simpul yang ada. Oleh karena itu, untuk nodepool yang dibuat sebelum mendaftarkan TrustedLaunchPreview fitur, Anda tidak dapat memperbaruinya dengan peluncuran tepercaya diaktifkan.

Secara default, membuat kumpulan simpul dengan konfigurasi yang kompatibel dengan TL dan bendera fitur yang terdaftar menghasilkan gambar peluncuran tepercaya. Tanpa menentukan --enable-vtpm atau --enable-secure-boot parameter, parameter dinonaktifkan secara default dan Anda dapat mengaktifkannya nanti menggunakan az aks nodepool update perintah.

Catatan

Boot Aman memerlukan boot loader, kernel OS, dan driver yang ditandatangani. Jika setelah mengaktifkan Boot Aman simpul Anda tidak dimulai, Anda dapat memverifikasi komponen boot mana yang bertanggung jawab atas kegagalan Boot Aman dalam Azure Linux Virtual Machine. Lihat memverifikasi kegagalan Boot Aman.

Contoh berikut memperbarui kumpulan simpul mynodepool pada myAKSCluster di myResourceGroup, dan mengaktifkan Boot Aman dan vTPM:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot --enable-vtpm 

Tetapkan pod ke simpul dengan peluncuran tepercaya diaktifkan

Anda dapat membatasi pod dan membatasinya untuk berjalan pada simpul atau simpul tertentu, atau preferensi ke simpul dengan peluncuran tepercaya diaktifkan. Anda dapat mengontrol ini menggunakan pemilih kumpulan simpul berikut dalam manifes pod Anda.

Untuk kumpulan simpul yang menjalankan vTPM, terapkan hal berikut:

spec:
  nodeSelector:
        kubernetes.azure.com/trusted-launch: true

Untuk kumpulan simpul yang menjalankan Boot Aman, terapkan hal berikut:

spec:
  nodeSelector:
        kubernetes.azure.com/secure-boot: true

Nonaktifkan Boot Aman

Untuk menonaktifkan Boot Aman pada kluster AKS, jalankan perintah berikut:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot 

Catatan

Pembaruan secara otomatis memulai kembali simpul dan operasi ini dapat memakan waktu beberapa menit per simpul.

Menonaktifkan vTPM

Untuk menonaktifkan vTPM pada kluster AKS, jalankan perintah berikut:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara mengaktifkan peluncuran tepercaya. Pelajari selengkapnya tentang peluncuran tepercaya.