培训
模块
配置 Azure Kubernetes 服务群集 - Training
使用 Azure Policy 对 Kubernetes 群集大规模强制实施策略和安全措施。 Azure Policy 可确保群集在整个组织中是安全、合规和一致的。
认证
Microsoft Certified: Azure Administrator Associate - Certifications
演示在 Microsoft Azure 中配置、管理、保护和管理关键专业功能的关键技能。
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
受信任启动通过防范高级和持久攻击技术,提高了第 2 代虚拟机 (VM) 的安全性。 借助此功能,管理员能够部署包含基础虚拟机的 AKS 节点,以及经过验证和签名的启动加载程序、OS 内核与驱动程序。 通过使用安全且经过测量的启动,管理员可以获得整个启动链完整性的见解和信心。
本文可帮助你了解此新功能及其实施方式。
受信任启动由多种可单独启用的协调式基础结构技术组成。 每种技术都针对错综复杂的威胁提供另一层防御。
vTPM - 受信任启动引入了硬件受信任平台模块 (TPM) 的虚拟化版本,符合 TPM 2.0 规范。 它充当密钥和度量的专用安全保管库。 受信任启动将其自身专用的 TPM 实例提供给 VM,该实例在安全环境中运行,任何 VM 都无法访问它。 vTPM 通过度量 VM 的整个启动链(UEFI、OS、系统和驱动程序)来启用证明。 受信任启动使用 vTPM 通过云执行远程证明。 它可用于平台运行状况检查以及做出基于信任的决策。 作为一项运行状况检查,受信任启动能够以加密方式验证 VM 是否正常启动。 如果过程失败(原因可能是 VM 正在运行未经授权的组件),Microsoft Defender for Cloud 将发出完整性警报。 这些警报包含有关哪些组件未能通过完整性检查的详细信息。
安全启动 - 受信任启动的根本是安全启动 VM。 此模式在平台固件中实现,可以防止安装基于恶意软件的 Rootkit 和 Bootkit。 安全启动旨在确保只有已签名的操作系统和驱动程序能够启动。 它为 VM 上的软件堆栈建立“信任根”。 启用安全启动后,所有 OS 启动组件(启动加载程序、内核、内核驱动程序)都必须由受信任的发布者签名。 Windows 和某些 Linux 发行版都支持安全启动。 如果安全启动无法对受信任发布者签名的映像进行身份验证,则不允许启动 VM。 有关详细信息,请参阅安全启动。
az --version
查找版本,运行 az upgrade
升级版本。 如果需要进行安装或升级,请参阅安装 Azure CLI。执行以下步骤,以使用 Azure CLI 部署 AKS 群集。
使用 az aks create 命令创建 AKS 群集。 在运行命令之前,请查看以下参数:
备注
安全启动需要已签名的启动加载程序、OS 内核和驱动程序。 如果启用安全启动后节点未启动,则可以验证哪些启动组件导致了 Azure Linux 虚拟机中的安全启动失败。 请参阅验证安全启动失败。
以下示例使用 myResourceGroup 中的 一个节点创建了名为 myAKSCluster的群集,并启用了安全启动和 vTPM:
az aks create \
--name myAKSCluster \
--resource-group myResourceGroup \
--node-count 1 \
--enable-secure-boot \
--enable-vtpm \
--generate-ssh-keys
运行以下命令以获取 Kubernetes 群集的访问凭据。 使用 az aks get-credentials 命令,并替换群集名称和资源组名称的值。
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
使用 az aks nodepool add 命令部署启用了受信任启动的节点池。 在运行命令之前,请查看以下参数:
备注
安全启动需要已签名的启动加载程序、OS 内核和驱动程序。 如果启用安全启动后节点未启动,则可以验证哪些启动组件导致了 Azure Linux 虚拟机中的安全启动失败。 请参阅验证安全启动失败。
以下示例使用三个节点在名为 myAKSCluster 的群集上部署了已启用 vTPM 的节点池:
az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm
以下示例使用三个节点在名为 myAKSCluster 的群集上部署了启用 vTPM 和安全启动的节点池:
az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot
使用 az aks nodepool update 命令更新启用了受信任启动的节点池。 在运行命令之前,请查看以下参数:
备注
默认情况下,使用与 TL 兼容的配置创建节点池会生成受信任启动映像。 如果不指定 --enable-vtpm
或 --enable-secure-boot
参数,则默认禁用它们,并且可以稍后使用 az aks nodepool update
命令启用。 现有节点池必须使用受信任启动映像才能在现有节点池上启用。
备注
安全启动需要已签名的启动加载程序、OS 内核和驱动程序。 如果启用安全启动后节点未启动,则可以验证哪些启动组件导致了 Azure Linux 虚拟机中的安全启动失败。 请参阅验证安全启动失败。
以下示例更新了 myResourceGroup 中 myAKSCluster 上的节点池 mynodepool,并启用了安全启动和 vTPM:
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot --enable-vtpm
可以约束 Pod 并将其限制为在特定节点或节点上运行,或优先选择已启用受信任启动的节点。 可以使用 Pod 清单中的以下节点池选择器来控制此项。
对于运行 vTPM 的节点池,请应用以下项:
spec:
nodeSelector:
kubernetes.azure.com/trusted-launch: true
对于运行安全启动的节点池,请应用以下项:
spec:
nodeSelector:
kubernetes.azure.com/secure-boot: true
要在 AKS 群集上禁用安全启动,请运行以下命令:
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot
备注
更新会自动启动节点重置映像,此操作在每个节点上可能需要几分钟时间才能完成。
要在 AKS 群集上禁用 vTPM,请运行以下命令:
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm
在本文中,你了解了如何启用受信任启动。 详细了解受信任启动。
培训
模块
配置 Azure Kubernetes 服务群集 - Training
使用 Azure Policy 对 Kubernetes 群集大规模强制实施策略和安全措施。 Azure Policy 可确保群集在整个组织中是安全、合规和一致的。
认证
Microsoft Certified: Azure Administrator Associate - Certifications
演示在 Microsoft Azure 中配置、管理、保护和管理关键专业功能的关键技能。