Betrodd start för Azure Kubernetes Service (AKS)

Trusted Launch förbättrar säkerheten för virtuella datorer i generation 2 genom att skydda mot avancerade och beständiga attacktekniker. Det gör det möjligt för administratörer att distribuera AKS-noder, som innehåller de underliggande virtuella datorerna, med verifierade och signerade startladdare, OS-kernels och drivrutiner. Genom att använda säker och uppmätt start får administratörer insikter och förtroende för hela startkedjans integritet.

Den här artikeln hjälper dig att förstå den här nya funktionen och hur du implementerar den.

Viktigt!

Från och med den 30 november 2025 har Azure Kubernetes Service (AKS) inte längre stöd för eller tillhandahåller säkerhetsuppdateringar för Azure Linux 2.0. Azure Linux 2.0-nodbilden är låst i 202512.06.0-versionen. Från och med den 31 mars 2026 tas nodbilder bort och du kan inte skala dina nodpooler. Migrera till en Azure Linux-version som stöds genom att uppgradera dina nodpooler till en Kubernetes-version som stöds eller migrera till osSku AzureLinux3. Mer information finns i [Pensionering] Azure Linux 2.0-nodpooler på AKS.

Översikt

Trusted Launch består av flera samordnade infrastrukturtekniker som kan aktiveras oberoende av varandra. Varje teknik ger ytterligare ett lager av skydd mot sofistikerade hot.

• vTPM – Trusted Launch introducerar en virtualiserad version av en TPM ( Hardware Trusted Platform Module ) som är kompatibel med TPM 2.0-specifikationen. Det fungerar som ett dedikerat säkert valv för nycklar och mått. Betrodd start ger den virtuella datorn en egen dedikerad TPM-instans som körs i en säker miljö utanför alla virtuella datorers räckvidd. VTPM möjliggör attestering genom att mäta hela startkedjan för den virtuella datorn (UEFI, OPERATIVSYSTEM, system och drivrutiner). Trusted Launch använder vTPM för att utföra fjärrattestering av molnet. Det används för plattformshälsokontroller och för att fatta förtroendebaserade beslut. Som en hälsokontroll kan Trusted Launch kryptografiskt certifiera att den virtuella datorn har startats korrekt. Om processen misslyckas, möjligen på grund av att den virtuella datorn kör en obehörig komponent, utfärdar Microsoft Defender för molnet integritetsaviseringar. Aviseringarna innehåller information om vilka komponenter som inte kunde passera integritetskontroller.

• Säker start – I roten för betrodd start finns Säker start för den virtuella datorn. Det här läget, som implementeras i plattformens inbyggda programvara, skyddar mot installation av malware-baserade rootkits och startpaket. Säker start fungerar för att säkerställa att endast signerade operativsystem och drivrutiner kan starta. Den upprättar en "rot av förtroende" för programvarustacken på den virtuella datorn. Med Säker start aktiverat måste alla os-startkomponenter (startinläsare, kernel- och kerneldrivrutiner) signeras av betrodda utgivare. Både Windows och linux-distributioner stöder säker start. Om Secure Boot inte kan autentisera en bild som signerats av en betrodd utgivare, får VM inte starta. Mer information finns i Säker start.

Innan du börjar

• Azure CLI version 2.66.0 eller senare. Kör az --version för att hitta versionen, och kör az upgrade för att uppgradera versionen. Om du behöver installera eller uppgradera, se Installera Azure CLI.

• Säker start kräver signerade startinläsare, OS-kernels och drivrutiner.

Begränsningar

• AKS stöder betrodd start på kubernetes version 1.25.2 och senare.
• Trusted Launch stöder endast virtuella Azure Generation 2-datorer.
• Nodpooler med Windows Server-operativsystem stöds inte.
• Betrodd start kan inte aktiveras i samma nodpool som FIPS, Arm64, Pod Sandboxing eller konfidentiell virtuell dator. Mer information finns i dokumentationen om nodbilder.
• Betrodd start stöder inte virtuell nod.
• Tillgänglighetsuppsättningar stöds inte, endast skalningsuppsättningar för virtuella maskiner.
• Om du vill aktivera Säker start på GPU-nodpooler måste du hoppa över installationen av GPU-drivrutinen. Mer information finns i Hoppa över GPU-drivrutinsinstallation.
• Tillfälliga OS-diskar kan skapas med betrodd start och alla regioner stöds. Alla storlekar på virtuella datorer stöds dock inte. Mer information finns i Trusted Launch tillfälliga OS-storlekar.
• Flatcar Container Linux för AKS stöder inte verifierad start på AKS.

Skapa ett AKS-kluster med betrodd start aktiverat

När du skapar ett kluster konfigurerar aktivering av vTPM eller säker start automatiskt dina nodpooler för att använda den anpassade avbildningen betrodd start. Den här avbildningen är specifikt konfigurerad för att stödja de säkerhetsfunktioner som aktiveras av Trusted Launch.

1. Skapa ett AKS-kluster med kommandot az aks create . Granska följande parametrar innan du kör kommandot:

   • --name: Ange ett unikt namn för AKS-klustret, till exempel myAKSCluster.
   • --resource-group: Ange namnet på en befintlig resursgrupp som ska vara värd för AKS-klusterresursen.
   • --enable-secure-boot: Aktiverar säker start för att verifiera en image som signerats av en betrodd utgivare.
   • --enable-vtpm: Aktiverar vTPM och utför attestering genom att mäta hela startkedjan för den virtuella datorn.

   Anmärkning

   Säker start kräver signerade startinläsare, OS-kernels och drivrutiner. Om noderna inte startar när du har aktiverat Säker start kan du kontrollera vilka startkomponenter som är ansvariga för fel med säker start på en virtuell Azure Linux-dator. Se verifiera fel med säker start.

   I följande exempel skapas ett kluster med namnet myAKSCluster med en nod i myResourceGroup och aktiverar Säker start och vTPM:

   az aks create \
       --name myAKSCluster \
       --resource-group myResourceGroup \
       --node-count 1 \
       --enable-secure-boot \
       --enable-vtpm \
       --generate-ssh-keys
   

2. Kör följande kommando för att hämta autentiseringsuppgifter för Kubernetes-klustret. Använd kommandot az aks get-credentials och ersätt värdena för klusternamnet och resursgruppens namn.

   az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
   

1. Skapa en mall med parametrar för betrodd start. Granska följande parametrar innan du skapar mallen:

   • enableSecureBoot: Aktiverar säker start för att autentisera en avbildning som signerats av en betrodd utgivare.
   • enableVTPM: Aktiverar vTPM och utför attestering genom att mäta hela startkedjan för den virtuella datorn.

   I mallen anger du värden för enableVTPM och enableSecureBoot. Samma schema som används för CLI-distribution finns i Microsoft.ContainerService/managedClusters/agentPools definitionen under "properties", som du ser i följande exempel:

   "properties": {
       ...,
       "securityProfile": {
           "enableVTPM": "true",
           "enableSecureBoot": "true",
       }
   }
   

2. Distribuera mallen med vTPM och säker start aktiverat i klustret. Mer information finns i Distribuera ett AKS-kluster med hjälp av en ARM-mall .

Lägga till en nodpool med betrodd start aktiverat

När du skapar en nodpool konfigurerar aktivering av vTPM eller säker start automatiskt dina nodpooler för att använda den anpassade avbildningen för betrodd start. Den här avbildningen är specifikt konfigurerad för att stödja de säkerhetsfunktioner som aktiveras av Trusted Launch.

1. Lägg till en nodpool med Betrodd start aktiverat med kommandot az aks nodepool add . Granska följande parametrar innan du kör kommandot:

   • --cluster-name: Ange namnet på AKS-klustret.
   • --resource-group: Ange namnet på en befintlig resursgrupp som ska vara värd för AKS-klusterresursen.
   • --name: Ange ett unikt namn för nodpoolen. Namnet på en nodpool får bara innehålla alfanumeriska gemener och måste börja med en gemen bokstav. För Linux-nodpooler måste längden vara mellan 1 och 11 tecken.
   • --node-count: Antalet noder i Kubernetes-agentpoolen. Standardvärdet är 3.
   • --enable-secure-boot: Aktiverar säker start för att autentisera avbild som signerats av en betrodd utgivare.
   • --enable-vtpm: Aktiverar vTPM och utför attestering genom att mäta hela startkedjan för den virtuella datorn.

   Anmärkning

   Säker start kräver signerade startinläsare, OS-kernels och drivrutiner. Om noderna inte startar när du har aktiverat Säker start kan du kontrollera vilka startkomponenter som är ansvariga för fel med säker start på en virtuell Azure Linux-dator. Se verifiera fel med säker start.

   I följande exempel distribueras en nodpool med vTPM och säker start aktiverat i ett kluster med namnet myAKSCluster med tre noder:

   az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot
   

2. Kontrollera att nodpoolen använder en betrodd startbild.

   Betrodda startnoder har följande utdata:

   • Nodbildversion som innehåller "TL", till exempel "AKSUbuntu-2204-gen2TLcontainerd".
   • "Security-type" ska vara "Trusted Launch".

   kubectl get nodes
   kubectl describe node {node-name} | grep -e node-image-version -e security-type
   

1. Skapa en mall med parametrar för betrodd start. Granska följande parametrar innan du skapar mallen:

   • enableSecureBoot: Aktiverar säker start för att autentisera en avbildning som signerats av en betrodd utgivare.
   • enableVTPM: Aktiverar vTPM och utför attestering genom att mäta hela startkedjan för den virtuella datorn.

   I mallen anger du värden för enableVTPM och enableSecureBoot. Samma schema som används för CLI-distribution finns i Microsoft.ContainerService/managedClusters/agentPools definitionen under "properties", som du ser i följande exempel:

   "properties": {
       ...,
       "securityProfile": {
           "enableVTPM": "true",
           "enableSecureBoot": "true",
       }
   }
   

2. Distribuera mallen med vTPM och säker start aktiverat i klustret. Mer information finns i Distribuera ett AKS-kluster med hjälp av en ARM-mall .

Aktivera vTPM eller säker start på en befintlig betrodd startnodpool

Du kan uppdatera en befintlig betrodd startnodpool för att aktivera vTPM eller säker start. Följande scenarier stöds:

• När du skapar en nodpool anger --enable-secure-bootdu bara , du kan köra uppdateringskommandot till --enable-vtpm
• När du skapar en nodpool anger --enable-vtpmdu bara , du kan köra uppdateringskommandot till --enable-secure-boot

Om nodpoolen för närvarande inte har någon betrodd startavbildning kan du inte uppdatera nodpoolen för att aktivera säker start eller vTPM.

1. Kontrollera att nodpoolen använder en betrodd startbild.

   Betrodda startnoder har följande utdata:

   • Nodbildversion som innehåller "TL", till exempel "AKSUbuntu-2204-gen2TLcontainerd".
   • "Security-type" ska vara "Trusted Launch".

   kubectl get nodes
   kubectl describe node {node-name} | grep -e node-image-version -e security-type
   

   Om nodpoolen för närvarande inte har någon betrodd startavbildning kan du inte uppdatera nodpoolen för att aktivera säker start eller vTPM.

2. Uppdatera en nodpool med Betrodd start aktiverat med kommandot az aks nodepool update . Granska följande parametrar innan du kör kommandot:

   • --resource-group: Ange namnet på en befintlig resursgrupp som är värd för ditt befintliga AKS-kluster.
   • --cluster-name: Ange ett unikt namn för AKS-klustret, till exempel myAKSCluster.
   • --name: Ange namnet på nodpoolen, till exempel mynodepool.
   • --enable-secure-boot: Aktiverar säker start för att autentisera att avbildningen signerats av en betrodd utgivare.
   • --enable-vtpm: Aktiverar vTPM och utför attestering genom att mäta hela startkedjan för den virtuella datorn.

   Anmärkning

   Säker start kräver signerade startinläsare, OS-kernels och drivrutiner. Om noderna inte startar när du har aktiverat Säker start kan du kontrollera vilka startkomponenter som är ansvariga för fel med säker start på en virtuell Azure Linux-dator. Se verifiera fel med säker start.

   I följande exempel uppdateras nodpoolens mynodepool på myAKSCluster i myResourceGroup och aktiverar vTPM. I det här scenariot aktiverades säker start när nodpoolen skapades:

   az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-vtpm 
   

   I följande exempel uppdateras nodpoolens mynodepool på myAKSCluster i myResourceGroup och aktiverar säker start. I det här scenariot aktiverades vTPM när nodpoolen skapades:

   az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot
   

1. Kontrollera att nodpoolen använder en betrodd startbild.

   Betrodda startnoder har följande utdata:

   • Nodbildversion som innehåller "TL", till exempel "AKSUbuntu-2204-gen2TLcontainerd".
   • "Security-type" ska vara "Trusted Launch".

   kubectl get nodes
   kubectl describe node {node-name} | grep -e node-image-version -e security-type
   

   Om nodpoolen för närvarande inte har någon betrodd startavbildning kan du inte uppdatera nodpoolen för att aktivera säker start eller vTPM.

2. Skapa en mall med parametrar för betrodd start. Granska följande parametrar innan du skapar mallen:

   • enableSecureBoot: Aktiverar säker start för att autentisera en avbildning som signerats av en betrodd utgivare.
   • enableVTPM: Aktiverar vTPM och utför attestering genom att mäta hela startkedjan för den virtuella datorn.

   I mallen anger du värden för enableVTPM och enableSecureBoot. Samma schema som används för CLI-distribution finns i Microsoft.ContainerService/managedClusters/agentPools definitionen under "properties", som du ser i följande exempel:

   "properties": {
       ...,
       "securityProfile": {
           "enableVTPM": "true",
           "enableSecureBoot": "true",
       }
   }
   

3. Distribuera mallen med vTPM och säker start aktiverat i klustret. Mer information finns i Distribuera ett AKS-kluster med hjälp av en ARM-mall .

Tilldela poddar till noder med betrodd start aktiverat

Du kan begränsa en podd och begränsa den så att den körs på en specifik nod eller noder, eller inställningar för noder med betrodd start aktiverat. Du kan styra detta med hjälp av följande nodpoolväljare i poddmanifestet.

spec:
  nodeSelector:
        kubernetes.azure.com/security-type = "TrustedLaunch"

Inaktivera vTPM eller säker start på en befintlig betrodd startnodpool

Du kan uppdatera en befintlig nodpool för att inaktivera vTPM eller säker start. När detta inträffar finns du kvar på avbildningen Betrodd start. Du kan återaktivera vTPM eller säker start när som helst genom att uppdatera nodpoolen.

Uppdatera en nodpool för att inaktivera säker start eller vTPM med kommandot az aks nodepool update . Granska följande parametrar innan du kör kommandot:

• --resource-group: Ange namnet på en befintlig resursgrupp som är värd för ditt befintliga AKS-kluster.
• --cluster-name: Ange ett unikt namn för AKS-klustret, till exempel myAKSCluster.
• --name: Ange namnet på nodpoolen, till exempel mynodepool.
• --enable-secure-boot: Aktiverar säker start för att autentisera att avbildningen signerats av en betrodd utgivare.
• --enable-vtpm: Aktiverar vTPM och utför attestering genom att mäta hela startkedjan för den virtuella datorn.

Så här inaktiverar du vTPM i en befintlig nodpool:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

Så här inaktiverar du säker start på en befintlig nodpool:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot 

1. Skapa en mall med parametrar för betrodd start. Granska följande parametrar innan du skapar mallen:

   • enableSecureBoot: Aktiverar säker start för att autentisera en avbildning som signerats av en betrodd utgivare.
   • enableVTPM: Aktiverar vTPM och utför attestering genom att mäta hela startkedjan för den virtuella datorn.

   I mallen anger du värden för enableVTPM och enableSecureBoot. Samma schema som används för CLI-distribution finns i Microsoft.ContainerService/managedClusters/agentPools definitionen under "properties", som du ser i följande exempel:

   "properties": {
       ...,
       "securityProfile": {
           "enableVTPM": "false",
           "enableSecureBoot": "false",
       }
   }
   

2. Distribuera mallen med vTPM och säker start inaktiverad i klustret. Mer information finns i Distribuera ett AKS-kluster med hjälp av en ARM-mall .

Nästa steg

I den här artikeln har du lärt dig hur du aktiverar betrodd start. Läs mer om betrodd start.