Udostępnij za pośrednictwem

Obsługa poufnej puli węzłów maszyn wirtualnych w usłudze AKS przy użyciu poufnych maszyn wirtualnych AMD SEV-SNP

  • Artykuł

Usługa Azure Kubernetes Service (AKS) ułatwia wdrażanie zarządzanego klastra Kubernetes na platformie Azure. W usłudze AKS węzły tej samej konfiguracji są grupowane razem w pule węzłów. Te pule węzłów zawierają bazowe maszyny wirtualne, na których są uruchamiane aplikacje.

Usługa AKS obsługuje teraz poufne pule węzłów maszyn wirtualnych z poufnymi maszynami wirtualnymi platformy Azure. Te poufne maszyny wirtualne to ogólnie dostępne poufne maszyny wirtualne DCasv5 i ECasv5 z użyciem procesorów TM AMD EPYC3. generacji z funkcjami zabezpieczeń Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP). Aby dowiedzieć się więcej na temat tej oferty, zobacz ogłoszenie.

Świadczenia

Poufne pule węzłów korzystają z maszyn wirtualnych z opartym na sprzęcie zaufanym środowiskiem wykonywania (TEE). Poufne maszyny wirtualne AMD SEV-SNP odmawiają funkcji hypervisor i innego kodu zarządzania hostami dostępu do pamięci i stanu maszyny wirtualnej oraz dodają ochronę w głębi systemu ochrony przed dostępem operatora.

Oprócz profilu zabezpieczeń ze wzmocnionym zabezpieczeniami pule węzłów poufnych w usłudze AKS są również włączone:

  • Obsługa funkcji Lift and Shift z pełną obsługą usługi AKS — aby umożliwić bezproblemową migrację obciążeń kontenera systemu Linux metodą "lift-and-shift"
  • Heterogeniczne pule węzłów — przechowywanie poufnych danych w puli węzłów TEE na poziomie maszyny wirtualnej z kluczami szyfrowania pamięci wygenerowanymi na podstawie samego mikroukładu
  • Kryptograficznie potwierdza, że kod zostanie wykonany na sprzęcie AMD SEV-SNP z aplikacją w celu wygenerowania raportu zaświadczania o sprzęcie.

Grafika przedstawiająca węzły maszyn wirtualnych w usłudze AKS z zaszyfrowanym kodem i danymi w poufnych pulach węzłów maszyny wirtualnej 1 i 2 oprócz funkcji hypervisor

Rozpocznij pracę i dodaj poufne pule węzłów do istniejącego klastra usługi AKS, korzystając z tego przewodnika Szybki start.

Pytania?

Jeśli masz pytania dotyczące ofert kontenerów, skontaktuj się z usługą acconaks@microsoft.com.

Następne kroki