Confidential Virtual Machines (CVM) gebruiken in AKS-cluster (Azure Kubernetes Service)

Confidential Virtual Machines (CVM) bieden een sterke beveiliging en vertrouwelijkheid voor tenants. CVM's bieden TEE (Hardware Trusted Execution Environment) op basis van VM's die gebruikmaken van SEV-SNP beveiligingsfuncties om de hypervisor en andere hostbeheercodetoegang tot VM-geheugen en -status te weigeren, waardoor diepgaande bescherming tegen operatortoegang wordt geboden. Met deze functies kunnen knooppuntgroepen met CVM worden gericht op de migratie van zeer gevoelige containerworkloads naar AKS zonder codeherstructurering en profiteert u van de functies van AKS. U kunt bijvoorbeeld CVM nodig hebben als u het volgende hebt:

Workloads die kritieke beveiligingsgegevens en/of gevoelige klantgegevens verwerken
Services die nodig zijn om te voldoen aan verschillende nalevingsvereisten, met name voor overheidscontracten. Zonder een schaalbare oplossing voor het beveiligen van gegevens kan dit leiden tot verlies van accreditaties en contracten.

In dit artikel leert u hoe u AKS-knooppuntgroepen maakt met behulp van vertrouwelijke VM-grootten.

AKS ondersteunde vertrouwelijke VM-grootten

Azure biedt een keuze uit TEE-opties (Trusted Execution Environment) van zowel AMD als Intel. Met deze TEE's kunt u vertrouwelijke VM-omgevingen maken met uitstekende prijs-tot-prestatieverhoudingen, allemaal zonder dat er codewijzigingen nodig zijn.

Op AMD gebaseerde vertrouwelijke VM's gebruiken AMD SEV-SNP technologie, die wordt geïntroduceerd met derde Gen AMD EPYC-processors™.
Vertrouwelijke VM's op basis van Intel maken gebruik van Intel TDX, met vierde generatie Intel® Xeon-processors®.

Beide technologieën hebben verschillende implementaties. Beide bieden echter vergelijkbare beveiligingen van de cloudinfrastructuurstack. Zie CVM VM-grootten voor meer informatie.

Beveiligingsfuncties

CVM's bieden de volgende beveiligingsverbeteringen in vergelijking met andere VM-grootten (virtuele machines):

Robuuste hardware-gebaseerde isolatie tussen virtuele machines, hypervisor en hostbeheercode.
Aanpasbare attestation-beleidsregels om ervoor te zorgen dat de host voldoet vóór de implementatie.
Versleuteling van vertrouwelijke besturingssysteemschijven in de cloud vóór het eerste opstarten.
VM-versleutelingssleutels die het platform of de klant (optioneel) bezit en beheert.
Beveilig de vrijgave van sleutels met een cryptografische binding tussen de geslaagde attestatie van het platform en de versleutelingssleutels van de VM.
Een toegewijde virtuele instance van de Trusted Platform Module (TPM) voor de attestatie en bescherming van sleutels en geheimen in de virtuele machine.
Beveiligde opstartmogelijkheid die vergelijkbaar is met vertrouwde lancering voor Azure-VM's

Hoe werkt het?

Als u een workload uitvoert waarvoor verbeterde vertrouwelijkheid en integriteit is vereist, kunt u profiteren van geheugenversleuteling en verbeterde beveiliging zonder codewijzigingen in uw toepassing. Alle pods op uw CVM-knooppunt maken deel uit van dezelfde vertrouwensgrens. De knooppunten in een knooppuntgroep die met behulp van CVM zijn gemaakt, gebruiken een aangepaste knooppuntafbeelding die speciaal is geconfigureerd voor CVM.

Ondersteunde besturingssysteemversies

U kunt CVM-knooppuntgroepen maken op Linux-besturingssysteemtypen (Ubuntu en Azure Linux). Niet alle versies van het besturingssysteem ondersteunen echter CVM-knooppuntgroepen.

Deze tabel bevat de ondersteunde besturingssysteemversies:

Type besturingssysteem	OS-artikelnummer	CVM-ondersteuning	CVM-standaard
Linux	`Ubuntu`	Ondersteund	Ubuntu 20.04 is standaard voor K8s versie 1.24-1.33. Ubuntu 24.04 is de standaardinstelling voor K8s versie 1.34-1.38.
Linux	`Ubuntu2204`	Niet ondersteund	AKS biedt geen ondersteuning voor CVM voor Ubuntu 22.04.
Linux	`Ubuntu2404`	Ondersteund	CVM wordt op `Ubuntu2404` ondersteund in K8s 1.32-1.38.
Linux	`AzureLinux`	Ondersteund in Azure Linux 3.0	Azure Linux 3 is standaard bij het inschakelen van CVM voor K8s versie 1.28-1.36.
Linux	`flatcar`	Niet ondersteund	Flatcar Container Linux voor AKS biedt geen ondersteuning voor CVM.
Linux	`AzureLinuxOSGuard`	Niet ondersteund	Azure Linux met OS Guard voor AKS biedt geen ondersteuning voor CVM.
Windows	Alle Windows OS-SKU's	Niet ondersteund

Wanneer Ubuntu of AzureLinux worden gebruikt als het osSKU, en de standaardversie van het besturingssysteem CVM niet ondersteunt, stelt AKS standaard in op de meest recente door CVM ondersteunde versie van het besturingssysteem. Ubuntu 22.04 is bijvoorbeeld standaard voor Linux-knooppuntgroepen. Aangezien 22.04 momenteel geen ondersteuning biedt voor CVM, wordt standaard AKS ingesteld op Ubuntu 20.04 voor linux-knooppuntgroepen met CVM-functionaliteit.

Beperkingen

De volgende beperkingen gelden voor het toevoegen van een knooppuntgroep met CVM aan AKS:

U kunt geen FIPS-, ARM64-, Trusted Launch- of Pod Sandboxing gebruiken.
U kunt een bestaande knooppuntgroep niet bijwerken om te migreren naar een CVM-grootte. Als u wilt migreren, moet u het formaat van de knooppuntgroep wijzigen.
U kunt CVM niet gebruiken met Windows-knooppuntgroepen.
CVM met Azure Linux is momenteel in preview.

Vereiste voorwaarden

Voordat u begint, controleert u of u het volgende hebt:

Een bestaand AKS-cluster.
CVM-grootten moeten beschikbaar zijn voor uw abonnement in de regio waar het cluster wordt gemaakt. U moet voldoende quotum hebben om een node pool te maken met een CVM-grootte.
Als u het Azure Linux-besturingssysteem gebruikt, moet u de aks-preview extensie installeren, de aks-preview extensie bijwerken en de preview-functievlag registreren. Als u Ubuntu gebruikt, kunt u deze stappen overslaan.

Als u Azure Linux gebruikt

CVM's voor Ubuntu zijn algemeen beschikbaar, maar CVM's met Azure Linux zijn momenteel nog in preview. Als u CVM-knooppuntgroepen wilt gebruiken met Azure Linux als besturingssysteem, moet u de extensie inschakelen en de vlag registreren.

Extensie installeren `aks-preview`

Installeer de aks-preview Azure CLI-extensie met behulp van de az extension add opdracht.
Belangrijk

AKS preview-functies zijn beschikbaar op selfservice, opt-in basis. Previews worden geleverd 'zoals het is' en 'voor zover beschikbaar' en zijn uitgesloten van de serviceovereenkomsten en beperkte garantie. AKS-previews worden gedeeltelijk gedekt door klantondersteuning naar best vermogen. Zodoende zijn deze functies niet bedoeld voor productiegebruik. Zie de volgende ondersteuningsartikelen voor meer informatie:
- Ondersteuningsbeleid voor AKS
- Veelgestelde vragen over ondersteuning voor Azure
```
az extension add --name aks-preview
```
Werk bij naar de nieuwste versie van de extensie met behulp van de az extension update opdracht.
```
az extension update --name aks-preview
```

Registreer functiekenmerk `AzureLinuxCVMPreview`

Registreer de AzureLinuxCVMPreview functievlag met behulp van de opdracht [az feature register][az-feature-register].
```
az feature register --namespace "Microsoft.ContainerService" --name "AzureLinuxCVMPreview"
```
Controleer de registratiestatus met behulp van de opdracht [az feature show][az-feature-show]. Het duurt enkele minuten voordat de status Geregistreerd wordt weergegeven.
```
az feature show --namespace Microsoft.ContainerService --name AzureLinuxCVMPreview
```
Wanneer de status Geregistreerd is, vernieuwt u de registratie van de Resourceprovider Microsoft.ContainerService met behulp van de opdracht [az provider register][az-provider-register].
```
az provider register --namespace Microsoft.ContainerService
```

Een knooppuntgroep met een CVM toevoegen aan uw AKS-cluster

Voeg een knooppuntgroep met een CVM toe aan uw AKS-cluster met behulp van de az aks nodepool add opdracht en stel de node-vm-size in op een ondersteunde VM-grootte.

az aks nodepool add \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --node-count 3 \
    --node-vm-size Standard_DC4as_v5

Als u de osSKU of osTypeniet opgeeft, wordt AKS standaard ingesteld op --os-type Linux en --os-sku Ubuntu.

Een bestaande knooppuntgroep upgraden met een CVM naar Ubuntu 24.04

Upgrade een bestaande knooppuntgroep met een CVM naar Ubuntu 24.04 vanuit Ubuntu 20.04 met behulp van de az aks nodepool update opdracht. Stel de os-sku als Ubuntu2404.
```
  az aks nodepool update \
      --resource-group myResourceGroup \
      --cluster-name myAKSCluster \
      --name cvmnodepool \
      --os-sku Ubuntu2404
```

Opmerking

Een knooppuntgroep met Ubuntu 24.04 met een CVM wordt ondersteund vanuit de versie AKS-cluster 1.33. Bovendien moet u de functie Ubuntu2404Preview registreren voordat Ubuntu 24.04 algemeen beschikbaar is. Raadpleeg here voor meer informatie over het registreren van de functie.

Controleren of de knooppuntgroep CVM gebruikt

Controleer of een knooppuntgroep gebruikmaakt van CVM met behulp van de az aks nodepool show opdracht en of de vmSizeStandard_DCa4_v5 is.

az aks nodepool show \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --query 'vmSize'

In de volgende voorbeeldopdracht en uitvoer ziet u dat de knooppuntgroep CVM gebruikt:

az aks nodepool show \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --query 'vmSize'

"Standard_DC4as_v5"

Controleer of een nodepool een CVM-image gebruikt door de az aks nodepool list opdracht te gebruiken.

az aks nodepool list \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --query 'nodeImageVersion'

In de volgende voorbeeldopdracht en uitvoer ziet u dat de knooppuntgroep een CVM-installatiekopie van Ubuntu 20.04 gebruikt:

az aks nodepool show \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool \
    --query 'nodeImageVersion'

"AKSUbuntu-2004cvmcontainerd-202507.02.0"

Een knooppuntgroep met CVM verwijderen uit een AKS-cluster

Verwijder een knooppuntgroep met CVM uit een AKS-cluster met behulp van de az aks nodepool delete opdracht.

az aks nodepool delete \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name cvmnodepool

Volgende stappen

In dit artikel hebt u geleerd hoe u een knooppuntgroep met CVM toevoegt aan een AKS-cluster.

Zie Ondersteuning voor vertrouwelijke VM-knooppuntgroepen op AKS voor meer informatie over CVM.
Als u een bestaande knooppuntgroep wilt migreren naar een CVM VM-grootte, kunt u uw knooppuntgroep herzien.
Als u alleen vertrouwde start wilt inschakelen voor uw knooppuntgroepen, raadpleegt u Vertrouwde start op AKS.

Feedback

Is deze pagina nuttig?

Last updated on 2025-12-10