Поделиться через

Поддержка пула узлов конфиденциальной виртуальной машины в AKS с конфиденциальными виртуальными машинами AMD SEV-SNP

  • Статья

Служба Azure Kubernetes (AKS) упрощает развертывание управляемого кластера Kubernetes в Azure. В AKS узлы одной конфигурации группируются в пулы узлов. Эти узлы содержат базовые виртуальные машины, на которых выполняются ваши приложения.

AKS теперь поддерживает пулы конфиденциальных узлов виртуальных машин с конфиденциальными виртуальными машинами Azure. Эти конфиденциальные виртуальные машины — это общедоступная серия виртуальных машин DCasv5 и ECasv5 с 3-го поколения процессорами AMD EPYCTM с функциями безопасности защищенной вложенной подкачки (SEV-SNP). Дополнительные сведения об этом предложении см. в объявлении.

Льготы

Пулы конфиденциальных узлов используют виртуальные машины с аппаратной доверенной средой выполнения (TEE). Конфиденциальные виртуальные машины AMD SEV-SNP запрещают гипервизору и другим кодам управления узлами доступ к памяти и состоянию виртуальной машины, а также добавляют защиту в глубине защиты от доступа к операторам.

Помимо защищенного профиля безопасности пулы конфиденциальных узлов в AKS также позволяют:

  • Лифт и смена с полной поддержкой функций AKS — чтобы обеспечить простой перенос рабочих нагрузок контейнеров Linux
  • Разнородные пулы узлов — для хранения конфиденциальных данных в пуле узлов TEE на уровне виртуальной машины с ключами шифрования памяти, созданными из самого набора микросхем.
  • Криптографически убедитесь, что код будет выполняться на оборудовании AMD SEV-SNP с приложением для создания отчета аттестации оборудования.

Рисунок узлов виртуальных машин в AKS с зашифрованным кодом и данными в пулах узлов конфиденциальных виртуальных машин 1 и 2 на вершине гипервизора

Начало работы и добавление пулов конфиденциальных узлов в существующий кластер AKS с помощью этого краткого руководства.

Вопросы?

Если у вас есть вопросы о предложениях контейнеров, обратитесь к acconaks@microsoft.com.

Следующие шаги