你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

AKS 上具有 AMD SEV-SNP 机密 VM 的机密 VM 节点池支持

  • 项目

可使用 Azure Kubernetes 服务 (AKS) 在 Azure 中轻松地部署托管的 Kubernetes 群集。 在 AKS 中,具有相同配置的节点将组合成节点池。 这些节点池包含运行应用程序的底层 VM。

AKS 现在支持使用 Azure 机密 VM 的机密 VM 节点池。 这些机密 VM 是正式版 DCasv5 和 ECasv5 和 ECasv5 机密 VM 系列,它利用具有安全加密 Virtualization-Secure 嵌套分页 (SEV-SNP) 安全功能的第三代 AMD EPYC TM 处理器。 要详细了解此产品/服务,请查看公告

好处

机密节点池利用具有基于硬件的受信任执行环境 (TEE) 的 VM。 AMD SEV-SNP 机密 VM 拒绝虚拟机监控程序和其他主机管理代码访问 VM 内存和状态,并添加深度保护,防止操作员访问。

除了强化的安全配置文件外,AKS 上的机密节点池还启用:

  • 通过完整的 AKS 功能支持进行直接迁移 - 实现 Linux 容器工作负载的无缝直接迁移
  • 异质节点池 - 在 VM 级别的 TEE 节点池中存储敏感数据,其中包含从芯片集本身生成的内存加密密钥
  • 以加密方式证明代码将在 AMD SEV-SNP 硬件上执行,并通过应用程序生成硬件证明报告

Graphic of VM nodes in AKS with encrypted code and data in confidential VM node pools 1 and 2, on top of the hypervisor

通过本快速入门指南,开始将机密节点池添加到现有 AKS 群集。

是否有任何问题?

如果对容器产品/服务有疑问,请联系 acconaks@microsoft.com

后续步骤