Azure Container Instance'da (ACI) Gizli kapsayıcılarla Güvenli Anahtar Sürümü

  • Makale

Gizli kapsayıcı tekliflerine sahip Azure Key Vault (AKV) ile Güvenli Anahtar Sürümü (SKR) akışı birkaç şekilde uygulanabilir. Gizli kapsayıcılar, Doğrudan Linux Önyüklemesi (DLB) olarak adlandırdığımız gerekli Hyper-V ile ilgili düzeltme eklerine sahip konuk üretici yazılımında kullanılan bir Linux Çekirdeği aracılığıyla AMD SEV-SNP cihazını kullanıma hazır bir konuk olarak kullanıma sunar. Bu platform, AMD SEV-SNP desteğine sahip Gizli VM'leri temel alan vTPM ve HCL kullanmaz. Bu kavram belgesinde kapsayıcıları Azure Container Support'ta gizli bilgi işlem SKU'su seçerek çalıştırmayı planladığınız varsayılır

  • Azure tarafından sağlanan Side-Car Yardımcı Kapsayıcısı
  • Kapsayıcı uygulamanızla özel uygulama

Azure tarafından sağlanan Side-Car yardımcı kapsayıcısı

açık kaynak d GitHub projesi "gizli yan arabalar", bu kapsayıcının nasıl derlenip derlenip nasıl derlenmiş olduğunu ve bu yan araç kapsayıcısını hazırlamanız ve çalıştırmanız için hangi parametrelerin/ortam değişkenlerinin gerekli olduğunu ayrıntılarıyla açıklar. Geçerli yan araba uygulaması, birincil uygulama kapsayıcınızın anahtarı AKV'den getirmek için kullanabileceği çeşitli HTTP REST API'leri sağlar. Microsoft Azure Doğrulama(MAA) aracılığıyla tümleştirme zaten yerleşiktir. Yan araç SKR kapsayıcısını çalıştırmaya yönelik hazırlık adımlarına buradan ayrıntılı olarak ulaşabilirsiniz.

Ana uygulama kapsayıcı uygulamanız, aşağıdaki örnekte tanımlandığı gibi yan araç WEB API'sinin uç noktalarını çağırabilir. Yan arabalar aynı kapsayıcı grubu içinde çalışır ve uygulama kapsayıcınızın yerel uç noktasıdır. API'nin tüm ayrıntılarına buradan ulaşabilirsiniz

key/release POST yöntemi aşağıdaki biçimde bir JSON bekler:

{	
    "maa_endpoint": "<maa endpoint>", //https://learn.microsoft.com/en-us/azure/attestation/quickstart-portal#attestation-provider
    "akv_endpoint": "<akv endpoint>", //AKV URI
    "kid": "<key identifier>" //key name,
    "access_token": "optional aad token if the command will run in a resource without proper managed identity assigned"
}

Başarılı olduğunda POST key/release yöntemi yanıtı aşağıdaki biçimde bir StatusOK üst bilgi ve yük taşır:

{
    "key": "<key in JSON Web Key format>"
}

Hata oluştuğunda key/release POST yöntemi yanıtı aşağıdaki biçimde bir StatusForbidden üst bilgi ve yük taşır:

{
    "error": "<error message>"
}

Kapsayıcı uygulamanızla özel uygulama

Azure Key Vault (AKV) - Güvenli Anahtar Sürümü ve Microsoft Azure Doğrulama (MAA) özelliğini genişleten özel bir kapsayıcı uygulaması gerçekleştirmek için, üst düzey başvuru akışı olarak aşağıdakini kullanın. Bu yan araç GitHub projesinde geçerli yan araç uygulama kodunu gözden geçirmek kolay bir yaklaşımdır.

Image of the aforementioned operations, which you should be performing.

  1. 1. Adım: AKV'yi Dışarı Aktarılabilir Anahtar ile ayarlayın ve yayın ilkesini ekleyin. Burada daha fazla bilgi bulabilirsiniz
  2. 2. Adım: Microsoft Entra Id ile yönetilen bir kimlik ayarlayın ve bunu AKV'ye ekleyin. Burada daha fazla bilgi bulabilirsiniz
  3. 3. Adım: Gizli bilgi işlem uygulama ilkesi ayarlayarak kapsayıcı uygulamanızı ACI içinde gerekli parametrelerle dağıtın. Burada daha fazla bilgi bulabilirsiniz
  4. 4. Adım: Bu adımda uygulamanız bir IOCTL Linux Yuva çağrısı yaparak bir RAW AMD SEV-SNP donanım raporu getirecektir. Bu eylemi gerçekleştirmek için herhangi bir konuk kanıtlama kitaplığına ihtiyacınız yoktur. Mevcut yan araba uygulaması hakkında daha fazla bilgi
  5. 5. Adım: Kapsayıcı grubu için AMD SEV-SNP sertifika zincirini getirin. Bu sertifikalar Azure ana bilgisayarı I AVH uç noktasından teslim edilir. Burada daha fazla bilgi bulabilirsiniz
  6. 6. Adım: Doğrulama ve iade talepleri için SNP RAW donanım raporunu ve sertifika ayrıntılarını MAA'ya gönderin. Burada daha fazla bilgi bulabilirsiniz
  7. 7. Adım: ACI tarafından oluşturulan MAA belirtecini ve yönetilen kimlik belirtecini anahtar sürümü için AKV'ye gönderin. Burada daha fazla bilgi bulabilirsiniz

AKV'den anahtar getirme işleminin başarılı olması üzerine, veri kümelerinin şifresini çözmek için anahtarı kullanabilir veya gizli kapsayıcı ortamından giden verileri şifreleyebilirsiniz.

Başvurular

Gizli kapsayıcı dağıtımları ile ACI

SKR AKV anahtarıyla şifrelenmiş blob getirme ve şifre çözme ile Yan Araç Uygulaması

Gizli VM'nin AMD SEV-SNP'siyle AKV SKR

Microsoft Azure Doğrulama (MAA)

SKR İlkesi Örnekleri