Доверенный запуск для службы Azure Kubernetes (AKS)

Доверенный запуск повышает безопасность виртуальных машин поколения 2 путем защиты от расширенных и постоянных атак. Он позволяет администраторам развертывать узлы AKS, содержащие базовые виртуальные машины, с проверенными и подписанными загрузчиками, ядрами ОС и драйверами. Используя безопасную и измеряемую загрузку, администраторы получают аналитические сведения и уверенность в целостности всей цепочки загрузки.

Эта статья поможет вам понять эту новую функцию и как ее реализовать.

Это важно

Начиная с 30 ноября 2025 г. служба Azure Kubernetes (AKS) больше не поддерживает или предоставляет обновления безопасности для Azure Linux 2.0. Образ узла Linux 2.0 Azure заморожен в выпуске 202512.06.0. Начиная с 31 марта 2026 г. образы узлов будут удалены, и вы не сможете масштабировать пулы узлов. Выполните миграцию в поддерживаемую версию Linux Azure, обновив пулы узлов до поддерживаемой версии Kubernetes или переключив ее на osSku AzureLinux3. Дополнительные сведения см. в вопросе о прекращении поддержки на GitHub и объявлении об устаревании обновлений Azure. Чтобы оставаться в курсе объявлений и обновлений, следуйте заметкам о выпуске AKS.

Обзор

Доверенный запуск состоит из нескольких согласованных технологий инфраструктуры, которые можно включить независимо. Каждая технология обеспечивает следующий уровень защиты от сложных угроз.

VTPM — доверенный запуск представляет виртуализированную версию аппаратного доверенного платформенного модуля (TPM), соответствующую спецификации TPM 2.0. Он служит выделенным безопасным хранилищем для ключей и измерений. Доверенный запуск предоставляет виртуальной машине собственный выделенный экземпляр доверенного платформенного модуля, работающий в защищенной среде за пределами доступа к любой виртуальной машине. vTPM активирует аттестацию, измеряя всю цепочку загрузки виртуальной машины (UEFI, ОС, система и драйверы). Доверенный запуск использует vTPM для выполнения удаленной аттестации в облаке. Он используется для проверок работоспособности платформы и принятия решений на основе доверия. В качестве проверки работоспособности доверенный запуск может криптографически сертифицировать правильность загрузки виртуальной машины. Если процесс завершается ошибкой, возможно, так как виртуальная машина выполняет несанкционированный компонент, Microsoft Defender для облака выдает оповещения о целостности. В оповещениях содержатся сведения о компонентах, которые не прошли проверку целостности.
Безопасная загрузка . В корне доверенного запуска используется безопасная загрузка для виртуальной машины. Этот режим, реализованный во встроенном ПО платформы, обеспечивает защиту от установки rootkit-программ на основе вредоносного ПО и буткитов. Безопасная загрузка обеспечивает возможность загрузки только подписанных операционных систем и драйверов. При этом задается "корневое доверие" для стека программного обеспечения на виртуальной машине. При активации безопасной загрузки все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Безопасная загрузка поддерживается как Windows, так и некоторыми дистрибутивами Linux. Если безопасная загрузка не проходит проверку подлинности образа, подписанного доверенным издателем, виртуальная машина не может загружаться. Дополнительные сведения см. в статье Безопасная загрузка.

Подготовка к работе

Azure CLI версии 2.66.0 или более поздней. Запустите az --version, чтобы определить версию и запустите az upgrade для обновления версии. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0.

Для безопасной загрузки требуются подписанные загрузчики, ядра ОС и драйверы.

Ограничения

AKS поддерживает доверенный запуск в kubernetes версии 1.25.2 и выше.
Доверенный запуск поддерживает только виртуальные машины поколения 2 Azure.
Пулы узлов с операционной системой Windows Server не поддерживаются.
Доверенный запуск не может быть включен в том же пуле узлов, что и FIPS, Arm64, песочница Pod или конфиденциальная виртуальная машина. Дополнительные сведения см. в документации по изображениям узлов.
Доверенный запуск не поддерживает виртуальный узел.
Группы доступности не поддерживаются только Масштабируемые наборы виртуальных машин.
Чтобы включить безопасную загрузку в пулах узлов GPU, необходимо пропустить установку драйвера GPU. Дополнительные сведения см. в разделе "Пропустить установку драйвера GPU".
Временные диски ОС можно создавать с помощью доверенного запуска и поддерживаются все регионы. Однако не все размеры виртуальных машин поддерживаются. Дополнительные сведения см. в разделе "Эфемерные размеры ОС для доверенного запуска".
Flatcar Container Linux для AKS не поддерживает Trusted Launch на AKS.

Создание кластера AKS с включенным доверенным запуском

При создании кластера включение vTPM или безопасной загрузки автоматически настраивает пулы узлов для использования настраиваемого образа доверенного запуска. Этот образ специально настроен для поддержки функций безопасности, включенных доверенным запуском.

Теперь создайте кластер AKS с помощью команды az aks create. Перед выполнением команды просмотрите следующие параметры:
- --name: введите уникальное имя кластера AKS, например myAKSCluster.
- --resource-group: введите имя существующей группы ресурсов для размещения ресурса кластера AKS.
- --enable-secure-boot: включает безопасную загрузку для проверки подлинности образа, подписанного доверенным издателем.
- --enable-vtpm: включает vTPM и выполняет аттестацию, измеряя всю цепочку загрузки виртуальной машины.
Примечание.

Для безопасной загрузки требуются подписанные загрузчики, ядра ОС и драйверы. Если после включения безопасной загрузки узлы не запускаются, можно проверить, какие компоненты загрузки отвечают за сбои безопасной загрузки в виртуальной машине Azure Linux. Ознакомьтесь с проверкой сбоев безопасной загрузки.

В следующем примере создается кластер с именем myAKSCluster с одним узлом в myResourceGroup и включается secure Boot и vTPM:
```
az aks create \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --node-count 1 \
    --enable-secure-boot \
    --enable-vtpm \
    --generate-ssh-keys
```
Выполните следующую команду, чтобы получить учетные данные для кластера Kubernetes. Используйте команду az aks get-credentials и замените значения для имени кластера и имени группы ресурсов.
```
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
```

Создайте шаблон с параметрами доверенного запуска. Перед созданием шаблона ознакомьтесь со следующими параметрами:
- enableSecureBoot: позволяет безопасной загрузке проходить проверку подлинности образа, подписанного доверенным издателем.
- enableVTPM: включает vTPM и выполняет аттестацию, измеряя всю цепочку загрузки виртуальной машины.
В шаблоне укажите значения для enableVTPM и enableSecureBoot. Та же схема, используемая для развертывания CLI, присутствует в Microsoft.ContainerService/managedClusters/agentPools разделе определения в "properties", как показано в следующем примере:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Разверните шаблон с поддержкой VTPM и безопасной загрузкой в кластере. Подробные инструкции см. в статье "Развертывание кластера AKS с помощью шаблона ARM ".

Добавление пула узлов с включенным доверенным запуском

При создании пула узлов включение vTPM или безопасной загрузки автоматически настраивает пулы узлов для использования настраиваемого образа доверенного запуска. Этот образ специально настроен для поддержки функций безопасности, включенных доверенным запуском.

Добавьте пул узлов с включенным доверенным запуском az aks nodepool add с помощью команды. Перед выполнением команды просмотрите следующие параметры:
- --cluster-name: введите имя кластера AKS.
- --resource-group: введите имя существующей группы ресурсов для размещения ресурса кластера AKS.
- --name: введите уникальное имя пула узлов. Имя пула узлов может содержать только строчные буквенно-цифровые символы и начинаться с строчной буквы. Для пулов узлов Linux длина должна составлять от 1 до 11 символов.
- --node-count: количество узлов в пуле агентов Kubernetes. Значение по умолчанию — 3.
- --enable-secure-boot: включает безопасную загрузку для проверки подлинности образа, подписанного доверенным издателем.
- --enable-vtpm: включает vTPM и выполняет аттестацию, измеряя всю цепочку загрузки виртуальной машины.
Примечание.

Для безопасной загрузки требуются подписанные загрузчики, ядра ОС и драйверы. Если после включения безопасной загрузки узлы не запускаются, можно проверить, какие компоненты загрузки отвечают за сбои безопасной загрузки в виртуальной машине Azure Linux. Ознакомьтесь с проверкой сбоев безопасной загрузки.

В следующем примере развертывается пул узлов с поддержкой vTPM и безопасной загрузки в кластере с именем myAKSCluster с тремя узлами:
```
az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot
```
Убедитесь, что пул узлов использует образ доверенного запуска.

Узлы доверенного запуска имеют следующие выходные данные:
- Версия образа узла, содержащая "TL", например "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" должно быть "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```

Создайте шаблон с параметрами доверенного запуска. Перед созданием шаблона ознакомьтесь со следующими параметрами:
- enableSecureBoot: позволяет безопасной загрузке проходить проверку подлинности образа, подписанного доверенным издателем.
- enableVTPM: включает vTPM и выполняет аттестацию, измеряя всю цепочку загрузки виртуальной машины.
В шаблоне укажите значения для enableVTPM и enableSecureBoot. Та же схема, используемая для развертывания CLI, присутствует в Microsoft.ContainerService/managedClusters/agentPools разделе определения в "properties", как показано в следующем примере:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Разверните шаблон с поддержкой VTPM и безопасной загрузкой в кластере. Подробные инструкции см. в статье "Развертывание кластера AKS с помощью шаблона ARM ".

Включение vTPM или безопасная загрузка в существующем пуле узлов доверенного запуска

Вы можете обновить существующий пул узлов доверенного запуска, чтобы включить vTPM или безопасную загрузку. Поддерживаются следующие сценарии:

При создании пула узлов укажите --enable-secure-bootтолько команду обновления. --enable-vtpm
При создании пула узлов укажите --enable-vtpmтолько команду обновления. --enable-secure-boot

Если пул узлов в настоящее время не имеет образа доверенного запуска, вы не сможете обновить пул узлов, чтобы включить безопасную загрузку или vTPM.

Убедитесь, что пул узлов использует образ доверенного запуска.

Узлы доверенного запуска имеют следующие выходные данные:
- Версия образа узла, содержащая "TL", например "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" должно быть "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```
Если пул узлов в настоящее время не имеет образа доверенного запуска, вы не сможете обновить пул узлов, чтобы включить безопасную загрузку или vTPM.
Обновите пул узлов с включенным доверенным запуском az aks nodepool update с помощью команды. Перед выполнением команды просмотрите следующие параметры:
- --resource-group: введите имя существующей группы ресурсов, включающей существующий кластер AKS.
- --cluster-name: введите уникальное имя кластера AKS, например myAKSCluster.
- --name: введите имя пула узлов, например mynodepool.
- --enable-secure-boot: позволяет безопасной загрузке пройти проверку подлинности, что образ был подписан доверенным издателем.
- --enable-vtpm: включает vTPM и выполняет аттестацию, измеряя всю цепочку загрузки виртуальной машины.
Примечание.

Для безопасной загрузки требуются подписанные загрузчики, ядра ОС и драйверы. Если после включения безопасной загрузки узлы не запускаются, можно проверить, какие компоненты загрузки отвечают за сбои безопасной загрузки в виртуальной машине Azure Linux. Ознакомьтесь с проверкой сбоев безопасной загрузки.

Следующий пример обновляет пул узлов mynodepool в myAKSCluster в myResourceGroup и включает vTPM. В этом сценарии безопасная загрузка была включена во время создания пула узлов:
```
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-vtpm 
```
В следующем примере пул узлов обновляет mynodepool в myAKSCluster в myResourceGroup и обеспечивает безопасную загрузку. В этом сценарии vTPM был включен во время создания пула узлов:
```
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot
```

Убедитесь, что пул узлов использует образ доверенного запуска.

Узлы доверенного запуска имеют следующие выходные данные:
- Версия образа узла, содержащая "TL", например "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" должно быть "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```
Если пул узлов в настоящее время не имеет образа доверенного запуска, вы не сможете обновить пул узлов, чтобы включить безопасную загрузку или vTPM.
Создайте шаблон с параметрами доверенного запуска. Перед созданием шаблона ознакомьтесь со следующими параметрами:
- enableSecureBoot: позволяет безопасной загрузке проходить проверку подлинности образа, подписанного доверенным издателем.
- enableVTPM: включает vTPM и выполняет аттестацию, измеряя всю цепочку загрузки виртуальной машины.
В шаблоне укажите значения для enableVTPM и enableSecureBoot. Та же схема, используемая для развертывания CLI, присутствует в Microsoft.ContainerService/managedClusters/agentPools разделе определения в "properties", как показано в следующем примере:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Разверните шаблон с поддержкой VTPM и безопасной загрузкой в кластере. Подробные инструкции см. в статье "Развертывание кластера AKS с помощью шаблона ARM ".

Назначение модулей pod узлам с включенным доверенным запуском

Вы можете ограничить модуль pod и ограничить его выполнение на определенном узле или узлах или предпочтения узлах с включенным доверенным запуском. Вы можете управлять этим с помощью следующего селектора пула узлов в манифесте pod.

spec:
  nodeSelector:
        kubernetes.azure.com/security-type = "TrustedLaunch"

Отключите vTPM или безопасную загрузку в существующем пуле узлов доверенного запуска

Вы можете обновить существующий пул узлов, чтобы отключить vTPM или безопасную загрузку. Когда это происходит, вы по-прежнему останетесь на образе доверенного запуска. Вы можете повторно включить vTPM или безопасную загрузку в любое время, обновив пул узлов.

Обновите пул узлов, чтобы отключить безопасную загрузку или vTPM с помощью az aks nodepool update команды. Перед выполнением команды просмотрите следующие параметры:

--resource-group: введите имя существующей группы ресурсов, включающей существующий кластер AKS.
--cluster-name: введите уникальное имя кластера AKS, например myAKSCluster.
--name: введите имя пула узлов, например mynodepool.
--enable-secure-boot: позволяет безопасной загрузке пройти проверку подлинности, что образ был подписан доверенным издателем.
--enable-vtpm: включает vTPM и выполняет аттестацию, измеряя всю цепочку загрузки виртуальной машины.

Чтобы отключить vTPM в существующем пуле узлов:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

Чтобы отключить безопасную загрузку в существующем пуле узлов:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot

Создайте шаблон с параметрами доверенного запуска. Перед созданием шаблона ознакомьтесь со следующими параметрами:
- enableSecureBoot: позволяет безопасной загрузке проходить проверку подлинности образа, подписанного доверенным издателем.
- enableVTPM: включает vTPM и выполняет аттестацию, измеряя всю цепочку загрузки виртуальной машины.
В шаблоне укажите значения для enableVTPM и enableSecureBoot. Та же схема, используемая для развертывания CLI, присутствует в Microsoft.ContainerService/managedClusters/agentPools разделе определения в "properties", как показано в следующем примере:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "false",
        "enableSecureBoot": "false",
    }
}
```
Разверните шаблон с помощью VTPM и безопасной загрузки, отключенной в кластере. Подробные инструкции см. в статье "Развертывание кластера AKS с помощью шаблона ARM ".

Следующие шаги

Из этой статьи вы узнали, как включить доверенный запуск. Дополнительные сведения о доверенном запуске.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-08-14