Stöd för konfidentiell VM-nodpool på AKS med konfidentiella virtuella AMD SEV-SNP-datorer

Azure Kubernetes Service (AKS) gör det enkelt att distribuera ett hanterat Kubernetes-kluster i Azure. I AKS grupperas noder med samma konfiguration i nodpooler. Dessa nodpooler innehåller de underliggande virtuella datorer som kör dina program.

AKS stöder nu konfidentiella VM-nodpooler med konfidentiella virtuella Azure-datorer. Dessa konfidentiella virtuella datorer är de allmänt tillgängliga DCasv5- och ECasv5-serien för konfidentiella virtuella datorer som använder 3:e generationens AMD EPYCTM-processorer med säkerhetsfunktionerna Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP). Mer information om det här erbjudandet finns i meddelandet.

Förmåner

Konfidentiella nodpooler utnyttjar virtuella datorer med en maskinvarubaserad betrodd körningsmiljö (TEE). AMD SEV-SNP konfidentiella virtuella datorer nekar hypervisor-programmet och annan värdhanteringskod åtkomst till vm-minne och -tillstånd och lägger till skydd i djupskydd mot operatörsåtkomst.

Förutom den härdade säkerhetsprofilen aktiverar även konfidentiella nodpooler i AKS:

  • Lift and Shift med fullständigt stöd för AKS-funktioner – för att möjliggöra en sömlös lift-and-shift av Linux-containerarbetsbelastningar
  • Heterogena nodpooler – för att lagra känsliga data i en TEE-nodpool på VM-nivå med minneskrypteringsnycklar som genereras från själva kretsuppsättningen
  • Kryptografiskt intygar att koden kommer att köras på AMD SEV-SNP-maskinvara med ett program för att generera rapporten för maskinvaruattestering.

Graphic of VM nodes in AKS with encrypted code and data in confidential VM node pools 1 and 2, on top of the hypervisor

Kom igång och lägg till konfidentiella nodpooler i befintliga AKS-kluster med den här snabbstartsguiden.

Frågor?

Om du har frågor om containererbjudanden kan du kontakta acconaks@microsoft.com.

Nästa steg