Vertrouwde start voor Azure Kubernetes Service (AKS)

Trusted Launch verbetert de beveiliging van virtuele machines van de tweede generatie (VM's) door te beschermen tegen geavanceerde en permanente aanvalstechnieken. Hiermee kunnen beheerders AKS-knooppunten implementeren, die de onderliggende virtuele machines bevatten, met geverifieerde en ondertekende bootloaders, besturingssysteemkernels en stuurprogramma's. Met behulp van beveiligd en gemeten opstarten krijgen beheerders inzicht en vertrouwen in de integriteit van de gehele opstartketen.

Dit artikel helpt u deze nieuwe functie te begrijpen en hoe u deze implementeert.

Belangrijk

Vanaf 30 november 2025 biedt Azure Kubernetes Service (AKS) geen ondersteuning meer voor beveiligingsupdates voor Azure Linux 2.0. De installatiekopieën van het Azure Linux 2.0-knooppunt zijn bevroren bij de release 202512.06.0. Vanaf 31 maart 2026 worden node-afbeeldingen verwijderd en kunt u de node-pools niet meer schalen. Migreer naar een ondersteunde Versie van Azure Linux door uw knooppuntgroepen te upgraden naar een ondersteunde Kubernetes-versie of door te migreren naar osSku AzureLinux3. Zie [Buitengebruikstelling] Azure Linux 2.0-knooppuntgroepen in AKS voor meer informatie.

Overzicht

Trusted Launch bestaat uit verschillende, gecoördineerde infrastructuurtechnologieën die onafhankelijk van elkaar kunnen worden ingeschakeld. Elke technologie biedt een andere verdedigingslaag tegen geavanceerde bedreigingen.

vTPM - Trusted Launch introduceert een gevirtualiseerde versie van een TPM ( Trusted Platform Module ), die voldoet aan de TPM 2.0-specificatie. Het fungeert als een speciale beveiligde kluis voor sleutels en metingen. Trusted Launch biedt uw virtuele machine een eigen toegewezen TPM-exemplaar dat wordt uitgevoerd in een beveiligde omgeving buiten het bereik van een virtuele machine. Met vTPM kunt u attestation inschakelen door de volledige opstartketen van uw VM (UEFI, BEsturingssysteem, systeem en stuurprogramma's) te meten. Trusted Launch maakt gebruik van de vTPM om externe attestation door de cloud uit te voeren. Het wordt gebruikt voor platformstatuscontroles en voor het nemen van beslissingen op basis van vertrouwen. Als statuscontrole kan Trusted Launch cryptografisch certificeren dat uw VIRTUELE machine correct is opgestart. Als het proces mislukt, mogelijk omdat uw VM een niet-geautoriseerd onderdeel uitvoert, Microsoft Defender voor Cloud integriteitswaarschuwingen krijgt. De waarschuwingen bevatten details over welke onderdelen niet voldoen aan integriteitscontroles.
Beveiligd opstarten : in de hoofdmap van Vertrouwd opstarten is Beveiligd opstarten voor uw VIRTUELE machine. Deze modus, die is geïmplementeerd in platformfirmware, beschermt tegen de installatie van op malware gebaseerde rootkits en bootkits. Beveiligd opstarten werkt om ervoor te zorgen dat alleen ondertekende besturingssystemen en stuurprogramma's kunnen worden opgestart. Hiermee wordt een 'vertrouwensanker' voor de softwarestack op uw Virtuele machine tot stand gebracht. Als Beveiligd opstarten is ingeschakeld, moeten alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) worden ondertekend door vertrouwde uitgevers. Zowel Windows als bepaalde Linux-distributies ondersteunen Beveiligd opstarten. Als Beveiligd Opstarten mislukt om een image te verifiëren die is ondertekend door een vertrouwde uitgever, mag de VM niet opstarten. Zie voor meer informatie beveiligd opstarten.

Voordat u begint

De Azure CLI versie 2.66.0 of hoger. Voer az --version uit om de versie te vinden en az upgrade om de versie bij te werken. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.

Beveiligd opstarten vereist ondertekende opstartladers, besturingssysteemkernels en stuurprogramma's.

Beperkingen

AKS ondersteunt Vertrouwd starten op kubernetes versie 1.25.2 en hoger.
Trusted Launch biedt alleen ondersteuning voor Azure Generation 2-VM's.
Knooppuntgroepen met windows Server-besturingssysteem worden niet ondersteund.
Vertrouwd starten kan niet worden ingeschakeld in dezelfde knooppuntgroep als FIPS, Arm64, Pod Sandboxing of Vertrouwelijke VM. Zie de documentatie voor knooppuntinstallatiekopieën voor meer informatie.
Vertrouwde start biedt geen ondersteuning voor virtueel knooppunt.
Beschikbaarheidssets worden niet ondersteund, alleen Virtuele Machineschaalsets.
Als u Beveiligd opstarten wilt inschakelen voor GPU-knooppuntgroepen, moet u het installeren van het GPU-stuurprogramma overslaan. Voor meer informatie, zie De installatie van GPU-stuurprogramma's overslaan.
Tijdelijke besturingssysteemschijven kunnen worden gemaakt met vertrouwde launch en alle regio's worden ondersteund. Niet alle grootten van virtuele machines worden echter ondersteund. Zie tijdelijke besturingssysteemgrootten voor vertrouwde lanceringen voor meer informatie.
Flatcar Container Linux voor AKS biedt geen ondersteuning voor vertrouwde lancering op AKS.

Een AKS-cluster maken waarvoor Vertrouwd starten is ingeschakeld

Wanneer u een cluster maakt, wordt met het inschakelen van vTPM of Beveiligd opstarten automatisch uw knooppuntgroepen ingesteld voor het gebruik van de aangepaste installatiekopie vertrouwde start. Deze installatiekopieën zijn specifiek geconfigureerd ter ondersteuning van de beveiligingsfuncties die zijn ingeschakeld door Vertrouwde start.

Maak een AKS-cluster met behulp van de opdracht az aks create . Controleer de volgende parameters voordat u de opdracht uitvoert:
- --name: Voer een unieke naam in voor het AKS-cluster, zoals myAKSCluster.
- --resource-group: voer de naam in van een bestaande resourcegroep om de AKS-clusterresource te hosten.
- --enable-secure-boot: hiermee schakelt u Beveiligd opstarten in om een installatiekopie te verifiëren die is ondertekend door een vertrouwde uitgever.
- --enable-vtpm: schakelt vTPM in en voert attestation uit door de volledige opstartketen van uw VIRTUELE machine te meten.
Notitie

Beveiligd opstarten vereist ondertekende opstartladers, besturingssysteemkernels en stuurprogramma's. Als uw knooppunten niet starten nadat Beveiligd Opstarten is ingeschakeld, kunt u controleren welke opstartonderdelen verantwoordelijk zijn voor mislukkingen van Beveiligd Opstarten binnen een virtuele Azure Linux-machine. Zie Secure Boot-fouten verifiëren.

In het volgende voorbeeld wordt een cluster met de naam myAKSCluster gemaakt met één knooppunt in myResourceGroup en wordt Beveiligd opstarten en vTPM ingeschakeld:
```
az aks create \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --node-count 1 \
    --enable-secure-boot \
    --enable-vtpm \
    --generate-ssh-keys
```
Voer de volgende opdracht uit om toegangsreferenties op te halen voor het Kubernetes-cluster. Gebruik de opdracht az aks get-credentials en vervang de waarden voor de clusternaam en de naam van de resourcegroep.
```
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
```

Maak een sjabloon met parameters voor vertrouwd starten. Bekijk de volgende parameters voordat u de sjabloon maakt:
- enableSecureBoot: hiermee schakelt u Beveiligd opstarten in om een installatiekopie te verifiëren die is ondertekend door een vertrouwde uitgever.
- enableVTPM: schakelt vTPM in en voert attestation uit door de volledige opstartketen van uw VIRTUELE machine te meten.
Geef in uw sjabloon waarden op voor enableVTPM en enableSecureBoot. Hetzelfde schema dat wordt gebruikt voor CLI-implementatie staat in de Microsoft.ContainerService/managedClusters/agentPools-definitie onder "properties", zoals te zien is in het volgende voorbeeld:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Implementeer uw sjabloon met vTPM en beveiligd opstarten ingeschakeld op uw cluster. Zie Een AKS-cluster implementeren met behulp van een ARM-sjabloon voor gedetailleerde instructies.

Een knooppuntgroep toevoegen waarvoor Vertrouwd starten is ingeschakeld

Wanneer u een knooppuntgroep maakt, wordt met het inschakelen van vTPM of Beveiligd opstarten automatisch uw knooppuntgroepen ingesteld voor het gebruik van de aangepaste installatiekopie vertrouwde start. Deze installatiekopieën zijn specifiek geconfigureerd ter ondersteuning van de beveiligingsfuncties die zijn ingeschakeld door Vertrouwde start.

Voeg een knooppuntgroep toe waarvoor Vertrouwde start is ingeschakeld met behulp van de az aks nodepool add opdracht. Controleer de volgende parameters voordat u de opdracht uitvoert:
- --clusternaam: voer de naam van het AKS-cluster in.
- --resource-group: voer de naam in van een bestaande resourcegroep om de AKS-clusterresource te hosten.
- --name: Voer een unieke naam in voor de knooppuntgroep. De naam van een knooppuntgroep mag alleen alfanumerieke tekens in kleine letters bevatten en moet beginnen met een kleine letter. Voor Linux-knooppuntgroepen moet de lengte tussen 1 en 11 tekens lang zijn.
- --node-count: het aantal knooppunten in de Kubernetes-agentgroep. De standaardwaarde is 3.
- --enable-secure-boot: hiermee schakelt u Beveiligd opstarten in om de installatiekopie te verifiëren die is ondertekend door een vertrouwde uitgever.
- --enable-vtpm: schakelt vTPM in en voert attestation uit door de volledige opstartketen van uw VIRTUELE machine te meten.
Notitie

Beveiligd opstarten vereist ondertekende opstartladers, besturingssysteemkernels en stuurprogramma's. Als uw knooppunten niet starten nadat Beveiligd Opstarten is ingeschakeld, kunt u controleren welke opstartonderdelen verantwoordelijk zijn voor mislukkingen van Beveiligd Opstarten binnen een virtuele Azure Linux-machine. Zie Secure Boot-fouten verifiëren.

In het volgende voorbeeld wordt een knooppuntgroep geïmplementeerd met vTPM en Beveiligd opstarten ingeschakeld op een cluster met de naam myAKSCluster met drie knooppunten:
```
az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot
```
Controleer of uw knooppuntgroep gebruikmaakt van een vertrouwde start-installatiekopieën.

Vertrouwde launch-knooppunten hebben de volgende uitvoer:
- Versie van knooppuntinstallatiekopie met "TL", zoals "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" moet zijn ingesteld op "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```

Maak een sjabloon met parameters voor vertrouwd starten. Bekijk de volgende parameters voordat u de sjabloon maakt:
- enableSecureBoot: hiermee schakelt u Beveiligd opstarten in om een installatiekopie te verifiëren die is ondertekend door een vertrouwde uitgever.
- enableVTPM: schakelt vTPM in en voert attestation uit door de volledige opstartketen van uw VIRTUELE machine te meten.
Geef in uw sjabloon waarden op voor enableVTPM en enableSecureBoot. Hetzelfde schema dat wordt gebruikt voor CLI-implementatie staat in de Microsoft.ContainerService/managedClusters/agentPools-definitie onder "properties", zoals te zien is in het volgende voorbeeld:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Implementeer uw sjabloon met vTPM en beveiligd opstarten ingeschakeld op uw cluster. Zie Een AKS-cluster implementeren met behulp van een ARM-sjabloon voor gedetailleerde instructies.

VTPM inschakelen of beveiligd opstarten op een bestaande knooppuntgroep met vertrouwde start

U kunt een bestaande knooppuntgroep voor vertrouwd starten bijwerken om vTPM of beveiligd opstarten in te schakelen. De volgende scenario's worden ondersteund:

Wanneer u een knooppuntgroep maakt, geeft --enable-secure-bootu alleen op, kunt u de opdracht update uitvoeren om --enable-vtpm
Wanneer u een knooppuntgroep maakt, geeft --enable-vtpmu alleen op, kunt u de opdracht update uitvoeren om --enable-secure-boot

Als uw knooppuntgroep momenteel geen installatiekopie voor vertrouwd starten heeft, kunt u de knooppuntgroep niet bijwerken om beveiligd opstarten of vTPM in te schakelen.

Controleer of uw knooppuntgroep gebruikmaakt van een vertrouwde start-installatiekopieën.

Vertrouwde launch-knooppunten hebben de volgende uitvoer:
- Versie van knooppuntinstallatiekopie met "TL", zoals "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" moet zijn ingesteld op "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```
Als uw knooppuntgroep momenteel geen installatiekopie voor vertrouwd starten heeft, kunt u de knooppuntgroep niet bijwerken om beveiligd opstarten of vTPM in te schakelen.
Werk een knooppuntgroep bij met Vertrouwde start ingeschakeld met behulp van de az aks nodepool update opdracht. Controleer de volgende parameters voordat u de opdracht uitvoert:
- --resource-group: voer de naam in van een bestaande resourcegroep die als host fungeert voor uw bestaande AKS-cluster.
- --clusternaam: Voer een unieke naam in voor het AKS-cluster, zoals myAKSCluster.
- --name: Voer de naam in van uw knooppuntgroep, zoals mynodepool.
- --enable-secure-boot: schakelt Beveiligd opstarten in om te verifiëren dat de installatiekopie is ondertekend door een vertrouwde uitgever.
- --enable-vtpm: schakelt vTPM in en voert attestation uit door de volledige opstartketen van uw VIRTUELE machine te meten.
Notitie

Beveiligd opstarten vereist ondertekende opstartladers, besturingssysteemkernels en stuurprogramma's. Als uw knooppunten niet starten nadat Beveiligd Opstarten is ingeschakeld, kunt u controleren welke opstartonderdelen verantwoordelijk zijn voor mislukkingen van Beveiligd Opstarten binnen een virtuele Azure Linux-machine. Zie Secure Boot-fouten verifiëren.

In het volgende voorbeeld wordt de knooppuntgroep mynodepool bijgewerkt op myAKSCluster in myResourceGroup en wordt vTPM ingeschakeld. In dit scenario is beveiligd opstarten ingeschakeld tijdens het maken van een knooppuntgroep:
```
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-vtpm 
```
In het volgende voorbeeld wordt de mynodepool van de knooppuntgroep in myAKSCluster in myResourceGroup bijgewerkt en wordt beveiligd opstarten ingeschakeld. In dit scenario is vTPM ingeschakeld tijdens het maken van een knooppuntgroep:
```
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot
```

Controleer of uw knooppuntgroep gebruikmaakt van een vertrouwde start-installatiekopieën.

Vertrouwde launch-knooppunten hebben de volgende uitvoer:
- Versie van knooppuntinstallatiekopie met "TL", zoals "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" moet zijn ingesteld op "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```
Als uw knooppuntgroep momenteel geen installatiekopie voor vertrouwd starten heeft, kunt u de knooppuntgroep niet bijwerken om beveiligd opstarten of vTPM in te schakelen.
Maak een sjabloon met parameters voor vertrouwd starten. Bekijk de volgende parameters voordat u de sjabloon maakt:
- enableSecureBoot: hiermee schakelt u Beveiligd opstarten in om een installatiekopie te verifiëren die is ondertekend door een vertrouwde uitgever.
- enableVTPM: schakelt vTPM in en voert attestation uit door de volledige opstartketen van uw VIRTUELE machine te meten.
Geef in uw sjabloon waarden op voor enableVTPM en enableSecureBoot. Hetzelfde schema dat wordt gebruikt voor CLI-implementatie staat in de Microsoft.ContainerService/managedClusters/agentPools-definitie onder "properties", zoals te zien is in het volgende voorbeeld:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Implementeer uw sjabloon met vTPM en beveiligd opstarten ingeschakeld op uw cluster. Zie Een AKS-cluster implementeren met behulp van een ARM-sjabloon voor gedetailleerde instructies.

Pods toewijzen aan knooppunten waarvoor Vertrouwd starten is ingeschakeld

U kunt een pod beperken en deze beperken tot uitvoering op een specifiek knooppunt of knooppunt, of de voorkeur voor knooppunten waarvoor Vertrouwde start is ingeschakeld. U kunt dit beheren met behulp van de volgende knooppuntgroepkiezer in uw podmanifest.

spec:
  nodeSelector:
        kubernetes.azure.com/security-type = "TrustedLaunch"

vTPM uitschakelen of beveiligd opstarten op een bestaande knooppuntgroep met vertrouwde start

U kunt een bestaande knooppuntgroep bijwerken om vTPM of beveiligd opstarten uit te schakelen. Wanneer dit gebeurt, blijft u op de installatiekopieën vertrouwde start staan. U kunt vTPM op elk gewenst moment opnieuw inschakelen of beveiligd opstarten door uw knooppuntgroep bij te werken.

Werk een knooppuntgroep bij om beveiligd opstarten of vTPM uit te schakelen met behulp van de az aks nodepool update opdracht. Controleer de volgende parameters voordat u de opdracht uitvoert:

--resource-group: voer de naam in van een bestaande resourcegroep die als host fungeert voor uw bestaande AKS-cluster.
--clusternaam: Voer een unieke naam in voor het AKS-cluster, zoals myAKSCluster.
--name: Voer de naam in van uw knooppuntgroep, zoals mynodepool.
--enable-secure-boot: schakelt Beveiligd opstarten in om te verifiëren dat de installatiekopie is ondertekend door een vertrouwde uitgever.
--enable-vtpm: schakelt vTPM in en voert attestation uit door de volledige opstartketen van uw VIRTUELE machine te meten.

VTPM uitschakelen voor een bestaande knooppuntgroep:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

Beveiligd opstarten uitschakelen voor een bestaande knooppuntgroep:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot

Maak een sjabloon met parameters voor vertrouwd starten. Bekijk de volgende parameters voordat u de sjabloon maakt:
- enableSecureBoot: hiermee schakelt u Beveiligd opstarten in om een installatiekopie te verifiëren die is ondertekend door een vertrouwde uitgever.
- enableVTPM: schakelt vTPM in en voert attestation uit door de volledige opstartketen van uw VIRTUELE machine te meten.
Geef in uw sjabloon waarden op voor enableVTPM en enableSecureBoot. Hetzelfde schema dat wordt gebruikt voor CLI-implementatie staat in de Microsoft.ContainerService/managedClusters/agentPools-definitie onder "properties", zoals te zien is in het volgende voorbeeld:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "false",
        "enableSecureBoot": "false",
    }
}
```
Implementeer uw sjabloon met vTPM en schakel beveiligd opstarten uit op uw cluster. Zie Een AKS-cluster implementeren met behulp van een ARM-sjabloon voor gedetailleerde instructies.

Volgende stappen

In dit artikel hebt u geleerd hoe u Vertrouwde start inschakelt. Meer informatie over Vertrouwde start.

Feedback

Is deze pagina nuttig?

Last updated on 2025-08-14