Dans cet article nous allons voir ensemble comment créer un cluster AKS avec un Nodepool Windows. AKS supporte les Windows Nodes Pool depuis Avril 2019 en GA. Mais pour un usage en production, on pourra noter que de nombreuses fonctionnalités de sécurité sont manquantes:
Support des AAD Pod Identity
Network Policy avec Calico
Istio (Service Mesh)
Azure Defender for Windows Nodes
…
# - Creation du cluster AKS
PASSWORD_WIN="P@ssw0rdmaxime1234"
az aks create \
--resource-group akswinmax \
--name akswinmaxime \
--node-count 2 \
--enable-addons monitoring \
--generate-ssh-keys \
--windows-admin-password $PASSWORD_WIN \
--windows-admin-username azureuser \
--vm-set-type VirtualMachineScaleSets \
--network-plugin azure \
--enable-managed-identity
# - Creation du NodePool Windows
az aks nodepool add \
--resource-group akswinmax \
--cluster-name akswinmaxime \
--os-type Windows \
--name npwin \
--node-count 1
Dans cet article, je vais vous présenter une nouvelle fonctionnalité disponible en pré-version vous permettant d’exporter le résultat de votre Secure Score vers un Event Hub ou un Log Analytics workspace.
Ceci peut par exemple être utile, si vous souhaitez ajouter le résultat de votre secure score en temps réel dans le tableau de bord de votre SIEM.
Pour activer cette fonctionnalité, je vous invite à suivre les étapes suivantes:
Depuis le portail Azure, se rendre sur « Security Center »
Cliquer sur Pricing & settings.
Sélectionner votre souscription
Cliquer sur Continuous export
Coche la case export of secure score. Dans le menu déroulant, vous pouvez choisir d’exporter à la fois le score global de l’abonnement et le score par contrôle, ou un seul d’entre eux.
Choisissez le groupe de ressources dans lequel la ressource d’automatisation sera créée.
Fill in the details of your export destination (Event Hub/Log Analytics workspace).
In this article, I would like share with you, how you can deploy an AKS cluster with Confidential nodes.
Let me start with a quick reminder about the confidential computing in Azure. Azure confidential computing allows you to protect your sensitive data while it’s in use. The underlying infrastructures protect this data from other applications, administrators, and cloud providers with a hardware backed trusted execution container environments.
Hardware based and process level container isolation through SGX trusted execution environment (TEE)
Heterogenous node pool clusters (mix confidential and non-confidential node pools)
Encrypted Page Cache (EPC) memory-based pod scheduling
SGX DCAP driver pre-installed
Intel FSGS Patch pre-installed
Supports CPU consumption based horizontal pod autoscaling and cluster autoscaling
Out of proc attestation helper through AKS daemonset
Linux Containers support through Ubuntu 18.04 Gen 2 VM worker nodes.
AKS Confidential Nodes deployment:
# - Requirements
az extension add --name aks-preview
az extension list
az extension update --name aks-preview
az feature register --name Gen2VMPreview --namespace Microsoft.ContainerService
az feature list -o table --query "[?contains(name, 'Microsoft.ContainerService/Gen2VMPreview')].{Name:name,State:properties.state}"
az provider register --namespace Microsoft.ContainerService
#- Creation an AKS cluster
az group create --name myResourceGroup --location westus2
az aks create \
--resource-group myResourceGroup \
--name myAKSCluster \
--node-vm-size Standard_DC2s_v2 \
--node-count 3 \
--enable-addon confcom \
--network-plugin azure \
--vm-set-type VirtualMachineScaleSets \
--aks-custom-headers usegen2vm=true
#- The above command should provision a new AKS cluster with DCs-v2 node pools and automatically install two daemon sets - (SGX Device Plugin & SGX Quote Helper)
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
Now, we have an AKS Confidential cluster ready, let deploy our first application.
