Dela via


Stöd för konfidentiell VM-nodpool på AKS med konfidentiella virtuella AMD SEV-SNP-datorer

Azure Kubernetes Service (AKS) gör det enkelt att distribuera ett hanterat Kubernetes-kluster i Azure. I AKS grupperas noder med samma konfiguration i nodpooler. Dessa nodpooler innehåller de underliggande virtuella datorer som kör dina program.

AKS stöder nu konfidentiella VM-nodpooler med konfidentiella virtuella Azure-datorer. Dessa konfidentiella virtuella datorer är de allmänt tillgängliga DCasv5- och ECasv5-serien för konfidentiella virtuella datorer som använder 3:e generationens AMD EPYCTM-processorer med säkerhetsfunktionerna Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP). Mer information om det här erbjudandet finns i meddelandet.

Förmåner

Konfidentiella nodpooler utnyttjar virtuella datorer med en maskinvarubaserad betrodd körningsmiljö (TEE). AMD SEV-SNP konfidentiella virtuella datorer nekar hypervisor-programmet och annan värdhanteringskod åtkomst till vm-minne och -tillstånd och lägger till skydd i djupskydd mot operatörsåtkomst.

Förutom den härdade säkerhetsprofilen aktiverar även konfidentiella nodpooler i AKS:

  • Lift and Shift med fullständigt stöd för AKS-funktioner – för att möjliggöra en sömlös lift-and-shift av Linux-containerarbetsbelastningar
  • Heterogena nodpooler – för att lagra känsliga data i en TEE-nodpool på VM-nivå med minneskrypteringsnycklar som genereras från själva kretsuppsättningen
  • Kryptografiskt intygar att koden kommer att köras på AMD SEV-SNP-maskinvara med ett program för att generera rapporten för maskinvaruattestering.

Bild av VM-noder i AKS med krypterad kod och data i konfidentiella VM-nodpooler 1 och 2 ovanpå hypervisor-programmet

Kom igång och lägg till konfidentiella nodpooler i befintliga AKS-kluster med den här snabbstartsguiden.

Frågor?

Om du har frågor om containererbjudanden kan du kontakta acconaks@microsoft.com.

Nästa steg