Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Secure Key Release -flödet (SKR) med Azure Key Vault (AKV) med konfidentiella containererbjudanden kan implementeras på några olika sätt. Konfidentiella containrar kör en gästupplystning som exponerar AMD SEV-SNP enhet via en Linux-kernel som använder en inbyggd gästbaserad programvara med nödvändiga Hyper-V relaterade korrigeringar som vi kallar Direct Linux Boot (DLB). Den här plattformen använder inte vTPM och är HCL-baserad för konfidentiella virtuella datorer med AMD SEV-SNP stöd. Det här konceptdokumentet förutsätter att du planerar att köra containrarna i Azure Container Support och välja en konfidentiell SKU för databehandling
- Side-Car hjälpcontainer som tillhandahålls av Azure
- Anpassad implementering med ditt containerprogram
Side-Car hjälpcontainer som tillhandahålls av Azure
Ett GitHub-projekt med öppen källkod "konfidentiella sidobilar" beskriver hur du skapar den här containern och vilka parametrar/miljövariabler som krävs för att du ska kunna förbereda och köra den här sidobilscontainern. Den aktuella sidobilimplementeringen innehåller olika HTTP REST-API:er som din primära programcontainer kan använda för att hämta nyckeln från AKV. Integreringen via Microsoft Azure Attestation (MAA) är redan inbyggd. Förberedelsestegen för att köra SKR-containern på sidovagnen finns i mer information här.
Ditt huvudsakliga programcontainerprogram kan anropa webb-API-slutpunkterna för sidobilen enligt definitionen i exemplet nedan. Sidecars körs inom samma containergrupp och är en lokal slutpunkt till din programcontainer. Fullständig information om API:et finns här
POST-metoden key/release förväntar sig en JSON med följande format:
{
"maa_endpoint": "<maa endpoint>", //https://learn.microsoft.com/en-us/azure/attestation/quickstart-portal#attestation-provider
"akv_endpoint": "<akv endpoint>", //AKV URI
"kid": "<key identifier>" //key name,
"access_token": "optional aad token if the command will run in a resource without proper managed identity assigned"
}
När det har lyckats har POST-metodsvaret key/release en StatusOK rubrik och en nyttolast i följande format:
{
"key": "<key in JSON Web Key format>"
}
Vid fel bär POST-metodsvaret key/release en StatusForbidden rubrik och en nyttolast i följande format:
{
"error": "<error message>"
}
Anpassad implementering med ditt containerprogram
Om du vill utföra ett anpassat containerprogram som utökar funktionen för Azure Key Vault (AKV) – Secure Key Release och Microsoft Azure Attestation (MAA) använder du nedanstående som ett referensflöde på hög nivå. En enkel metod är att granska den aktuella implementeringskoden för sidobilen i det här GitHub-projektet.
- Steg 1: Konfigurera AKV med exporterbar nyckel och koppla distributionspolicyn. Mer här
- Steg 2: Konfigurera en hanterad identitet med Microsoft Entra-ID och koppla den till AKV. Mer här
- Steg 3: Distribuera ditt containerprogram med nödvändiga parametrar i ACI genom att konfigurera en princip för tillämpning av konfidentiell databehandling. Mer här
- Steg 4: I det här steget ska programmet hämta en RAW AMD-SEV-SNP maskinvarurapport genom att göra ett IOCTL Linux Socket-anrop. Du behöver inget gästattesteringsbibliotek för att utföra den här åtgärden. Mer om befintlig implementering av sidovagn
- Steg 5: Hämta AMD-SEV-SNP certifikatkedja för containergruppen. Dessa certifikat levereras från Azure-värd-IMDS-slutpunkten. Mer här
- Steg 6: Skicka SNP RAW-maskinvarurapporten och certifikatinformationen till MAA för verifiering och returnering av anspråk. Mer här
- Steg 7: Skicka MAA-token och den hanterade identitetstoken som genereras av ACI till AKV för nyckelversion. Mer här
När nyckeln hämtas från AKV kan du använda nyckeln för att dekryptera datauppsättningarna eller kryptera data som kommer från den konfidentiella containermiljön.
Referenser
ACI med konfidentiella containerinstallationer
Side-Car implementering med krypterad blobhämtning och dekryptering med SKR AKV-nyckel
AKV SKR med AMD SEV-SNP för konfidentiella virtuella maskiner