Vertrauenswürdiger Start für Azure Kubernetes Service (AKS)

Der vertrauenswürdige Start verbessert die Sicherheit virtueller Computer der Generation 2 durch schutz vor erweiterten und persistenten Angriffstechniken. Er ermöglicht Administratoren die Bereitstellung von AKS-Knoten, die die zugrunde liegenden virtuellen Computer enthalten, mit überprüften und signierten Bootloadern, Betriebssystemkerneln und Treibern. Durch den sicheren und kontrollierten Start können Administratoren Erkenntnisse gewinnen und sich auf die Integrität der gesamten Startkette verlassen.

In diesem Artikel erfahren Sie mehr zu diesem neuen Feature und lernen, es zu implementieren.

Von Bedeutung

Ab dem 30. November 2025 unterstützt Azure Kubernetes Service (AKS) keine Sicherheitsupdates für Azure Linux 2.0 mehr oder stellt diese bereit. Das Azure Linux 2.0-Knotenimage ist eingefroren bei der Version 202512.06.0. Ab dem 31. März 2026 werden Knotenimages entfernt, und Sie können Ihre Knotenpools nicht skalieren. Migrieren Sie zu einer unterstützten Azure Linux-Version, indem Sie Ihre Knotenpools auf eine unterstützte Kubernetes-Version aktualisieren oder zu osSku AzureLinux3 migrieren. Weitere Informationen finden Sie im GitHub-Issue "Retirement" und in der Azure Updates Ankündigung der Einstellung. Um über Ankündigungen und Updates auf dem Laufenden zu bleiben, folgen Sie den AKS-Versionshinweisen.

Übersicht

Der vertrauenswürdige Start besteht aus mehreren koordinierten Infrastrukturtechnologien, die unabhängig voneinander aktiviert werden können. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen.

vTPM – Trusted Launch führt eine virtualisierte Version eines Hardware Trusted Platform Module (TPM) ein, das mit der TPM 2.0-Spezifikation kompatibel ist. Sie dient als dedizierter sicherer Tresor für Schlüssel und Messungen. Trusted Launch stellt Ihrer VM eine eigene dedizierte TPM-Instanz zur Verfügung, die in einer sicheren Umgebung außerhalb der Reichweite jeglicher VM ausgeführt wird. vTPM ermöglicht den Nachweis durch Messung der gesamten Startkette der VM (UEFI, Betriebssystem, System und Treiber). Trusted Launch verwendet das vTPM für eine Remoteattestierung durch die Cloud. Es wird für Plattformintegritätsprüfungen und zum Treffen von vertrauensbasierten Entscheidungen verwendet. Als Integritätsprüfung kann beim vertrauenswürdigen Start kryptografisch zertifiziert werden, dass die VM ordnungsgemäß gestartet wurde. Wenn bei diesem Prozess Fehler auftreten (beispielsweise, weil auf der VM eine nicht autorisierte Komponente ausgeführt wird), werden in Microsoft Defender for Cloud Integritätswarnungen ausgegeben. Die Warnungen enthalten Details zu den Komponenten, bei denen die Integritätsprüfungen nicht erfolgreich durchgeführt wurden.
Secure Boot - Die Grundlage von „Vertrauenswürdiger Start“ ist Secure Boot für Ihre VM. Dieser Modus, der in der Plattformfirmware implementiert ist, schützt vor der Installation schadsoftwarebasierter Rootkits und Bootkits. Der sichere Start bewirkt, dass nur signierte Betriebssysteme und Treiber gestartet werden können. Damit wird eine „Vertrauenswurzel“ für den Software-Stack auf Ihrer VM eingerichtet. Bei aktiviertem sicherem Start müssen alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) von vertrauenswürdigen Herausgebern signiert werden. Der sichere Start wird unter Windows sowie ausgewählten Linux-Distributionen unterstützt. Wenn Secure Boot die Authentifizierung eines von einem vertrauenswürdigen Herausgeber signierten Images nicht durchführen kann, kann die VM nicht gestartet werden. Weitere Informationen finden Sie unter Sicherer Start.

Bevor Sie beginnen

Azure CLI-Version 2.66.0 oder höher. Führen Sie az --version aus, um die Version zu finden, und führen Sie az upgrade aus, um ein Upgrade für die Version durchzuführen. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.

Für den sicheren Start sind signierte Bootloader, Betriebssystemkernels und Treiber erforderlich.

Begrenzungen

AKS unterstützt trusted Launch auf Kubernetes, Version 1.25.2 und höher.
Der vertrauenswürdige Start unterstützt nur virtuelle Azure-Computer der zweiten Generation.
Knotenpools mit Windows Server-Betriebssystem werden nicht unterstützt.
Der vertrauenswürdige Start kann nicht im gleichen Knotenpool wie Arm64, Pod Sandboxing oder vertraulicher virtueller Computer aktiviert werden. Weitere Informationen finden Sie in der Dokumentation zu Knotenbildern.
Der vertrauenswürdige Start kann nur im gleichen Knotenpool wie FIPS mit Ubuntu 22.04 aktiviert werden.
Trusted Launch unterstützt keinen virtuellen Knoten.
Es werden nur VM-Skalierungsgruppen unterstützt, aber keine Verfügbarkeitsgruppen.
Um den sicheren Start in GPU-Knotenpools zu aktivieren, müssen Sie die Installation des GPU-Treibers überspringen. Weitere Informationen finden Sie unter GPU-Treiberinstallation überspringen.
Kurzlebige Betriebssystemdatenträger können mit vertrauenswürdigem Start erstellt werden, und alle Regionen werden unterstützt. Es werden jedoch nicht alle VM-Größen unterstützt. Weitere Informationen finden Sie unter Vertrauenswürdige Startgrößen für kurzlebige Betriebssystemgrößen.
Flatcar Container Linux für AKS unterstützt Trusted Launch auf AKS nicht.

Erstellen Sie einen AKS-Cluster mit aktiviertem Trusted Launch

Beim Erstellen eines Clusters werden durch das Aktivieren von vTPM oder Secure Boot Ihre Knotenpools automatisch so konfiguriert, dass das angepasste Trusted-Launch-Image verwendet wird. Dieses Image ist speziell so konfiguriert, dass es die von Trusted Launch aktivierten Sicherheitsfunktionen unterstützt.

Erstellen Sie mit dem Befehl az aks create einen AKS-Cluster. Überprüfen Sie vor dem Ausführen des Befehls die folgenden Parameter:
- --name: Geben Sie einen eindeutigen Namen für den AKS-Cluster ein, z. B. myAKSCluster.
- --resource-group: Geben Sie den Namen einer vorhandenen Ressourcengruppe ein, um die AKS-Clusterressource zu hosten.
- --enable-secure-boot: Aktiviert den sicheren Start, um ein von einem vertrauenswürdigen Herausgeber signiertes Image zu authentifizieren.
- --enable-vtpm: Aktiviert vTPM und führt einen Nachweis durch Messen der gesamten Startkette Ihrer VM durch.
Hinweis

Für den sicheren Start sind signierte Bootloader, Betriebssystemkernels und Treiber erforderlich. Sollten Ihre Knoten nach dem Aktivieren des sicheren Starts nicht mehr starten, können Sie überprüfen, welche Startkomponenten für Fehler beim sicheren Start innerhalb eines virtuellen Azure-Linux-Computers verantwortlich sind. Weitere Informationen finden Sie unter Überprüfen von Fehlern beim sicheren Start.

Im folgenden Beispiel wird ein Cluster mit dem Namen myAKSCluster mit einem einzelnen Knoten in myResourceGroup erstellt. Außerdem werden sicherer Start und vTPM aktiviert:
```
az aks create \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --node-count 1 \
    --enable-secure-boot \
    --enable-vtpm \
    --generate-ssh-keys
```
Führen Sie den folgenden Befehl aus, um Anmeldeinformationen für den Zugriff auf den Kubernetes-Cluster zu erhalten. Verwenden Sie den Befehl az aks get-credentials, und ersetzen Sie die Werte für den Clusternamen und den Ressourcengruppennamen.
```
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
```

Erstellen Sie eine Vorlage mit vertrauenswürdigen Startparametern. Überprüfen Sie vor dem Erstellen der Vorlage die folgenden Parameter:
- enableSecureBoot: Aktiviert den sicheren Start, um ein von einem vertrauenswürdigen Herausgeber signiertes Image zu authentifizieren.
- enableVTPM: Aktiviert vTPM und führt einen Nachweis durch Messen der gesamten Startkette Ihrer VM durch.
Geben Sie in Ihrer Vorlage Werte für enableVTPM und enableSecureBoot. Das Schema, das für die CLI-Bereitstellung verwendet wird, ist auch in der Definition Microsoft.ContainerService/managedClusters/agentPools unter "properties" verfügbar, wie im folgenden Beispiel zu sehen:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Stellen Sie Ihre Vorlage mit vTPM bereit, und aktivieren Sie den sicheren Start auf Ihrem Cluster. Ausführliche Anweisungen finden Sie unter Bereitstellen eines AKS-Clusters mithilfe einer ARM-Vorlage .

Hinzufügen eines Knotenpools mit aktiviertem vertrauenswürdigem Start

Wenn Sie einen Knotenpool erstellen, werden Ihre Knotenpools durch das Aktivieren von vTPM oder Secure Boot automatisch so eingerichtet, dass sie das benutzerdefinierte Trusted Launch-Image verwenden. Dieses Image ist speziell so konfiguriert, dass es die von Trusted Launch aktivierten Sicherheitsfunktionen unterstützt.

Fügen Sie einen Knotenpool mit aktiviertem vertrauenswürdigen Start mithilfe des az aks nodepool add Befehls hinzu. Überprüfen Sie vor dem Ausführen des Befehls die folgenden Parameter:
- --cluster-name: Geben Sie den Namen des AKS-Clusters ein.
- --resource-group: Geben Sie den Namen einer vorhandenen Ressourcengruppe ein, um die AKS-Clusterressource zu hosten.
- --name: Geben Sie einen eindeutigen Namen für den Knotenpool ein. Der Name eines Knotenpools darf nur alphanumerische Zeichen in Kleinbuchstaben enthalten und muss mit einem Kleinbuchstaben beginnen. Bei Linux-Knotenpools muss die Länge zwischen 1 und 11 Zeichen betragen.
- --node-count: Die Anzahl der Knoten im Kubernetes-Agentpool. Die Standardeinstellung ist 3.
- --enable-secure-boot: Aktiviert den sicheren Start, um das von einem vertrauenswürdigen Herausgeber signierte Image zu authentifizieren.
- --enable-vtpm: Aktiviert vTPM und führt einen Nachweis durch Messen der gesamten Startkette Ihrer VM durch.
Hinweis

Für den sicheren Start sind signierte Bootloader, Betriebssystemkernels und Treiber erforderlich. Sollten Ihre Knoten nach dem Aktivieren des sicheren Starts nicht mehr starten, können Sie überprüfen, welche Startkomponenten für Fehler beim sicheren Start innerhalb eines virtuellen Azure-Linux-Computers verantwortlich sind. Weitere Informationen finden Sie unter Überprüfen von Fehlern beim sicheren Start.

Im folgenden Beispiel wird ein Knotenpool mit aktiviertem vTPM und sicherem Start in einem Cluster namens myAKSCluster mit drei Knoten bereitgestellt:
```
az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot
```
Überprüfen Sie, ob Ihr Knotenpool ein Trusted Launch-Image verwendet.

Trusted-Launch-Knoten haben folgende Ausgabe:
- Knoten-Image-Version mit "TL", zum Beispiel "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" sollte sein "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```

Erstellen Sie eine Vorlage mit vertrauenswürdigen Startparametern. Überprüfen Sie vor dem Erstellen der Vorlage die folgenden Parameter:
- enableSecureBoot: Aktiviert den sicheren Start, um ein von einem vertrauenswürdigen Herausgeber signiertes Image zu authentifizieren.
- enableVTPM: Aktiviert vTPM und führt einen Nachweis durch Messen der gesamten Startkette Ihrer VM durch.
Geben Sie in Ihrer Vorlage Werte für enableVTPM und enableSecureBoot. Das Schema, das für die CLI-Bereitstellung verwendet wird, ist auch in der Definition Microsoft.ContainerService/managedClusters/agentPools unter "properties" verfügbar, wie im folgenden Beispiel zu sehen:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Stellen Sie Ihre Vorlage mit vTPM bereit, und aktivieren Sie den sicheren Start auf Ihrem Cluster. Ausführliche Anweisungen finden Sie unter Bereitstellen eines AKS-Clusters mithilfe einer ARM-Vorlage .

Fügen Sie einen Knotenpool mit aktiviertem Trusted Launch und FIPS hinzu

Sie können Trusted Launch und FIPS nur bei Ubuntu 22.04-Knotenpools auf VM-Größen der Generation 2 gemeinsam aktivieren.

Für FIPS-spezifische Vorgänge, z. B. das Deaktivieren von FIPS in einem vorhandenen Knotenpool, lesen Sie Federal Information Processing Standard (FIPS) für Azure Kubernetes Service (AKS)-Knotenpools aktivieren.

Fügen Sie einen Knotenpool mit aktiviertem vertrauenswürdigem Start und FIPS mithilfe des az aks nodepool add Befehls hinzu. Überprüfen Sie vor dem Ausführen des Befehls die folgenden Parameter:
- --cluster-name: Geben Sie den Namen des AKS-Clusters ein.
- --resource-group: Geben Sie den Namen einer vorhandenen Ressourcengruppe ein, um die AKS-Clusterressource zu hosten.
- --name: Geben Sie einen eindeutigen Namen für den Knotenpool ein. Der Name eines Knotenpools darf nur alphanumerische Zeichen in Kleinbuchstaben enthalten und muss mit einem Kleinbuchstaben beginnen. Bei Linux-Knotenpools muss die Länge zwischen 1 und 11 Zeichen betragen.
- --node-count: Die Anzahl der Knoten im Kubernetes-Agentpool. Die Standardeinstellung ist 3.
- --enable-secure-boot: Aktiviert den sicheren Start, um das von einem vertrauenswürdigen Herausgeber signierte Image zu authentifizieren.
- --enable-vtpm: Aktiviert vTPM und führt einen Nachweis durch Messen der gesamten Startkette Ihrer VM durch.
- --enable-fips-image: Aktiviert das FIPS-kompatible Knotenimage für den Knotenpool.
Hinweis

Für den sicheren Start sind signierte Bootloader, Betriebssystemkernels und Treiber erforderlich. Sollten Ihre Knoten nach dem Aktivieren des sicheren Starts nicht mehr starten, können Sie überprüfen, welche Startkomponenten für Fehler beim sicheren Start innerhalb eines virtuellen Azure-Linux-Computers verantwortlich sind. Weitere Informationen finden Sie unter Überprüfen von Fehlern beim sicheren Start.

Im folgenden Beispiel wird ein Knotenpool mit vTPM, sicherer Start und FIPS auf einem Cluster mit dem Namen myAKSCluster mit drei Knoten bereitgestellt:
```
az aks nodepool add --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-count 3 --enable-vtpm --enable-secure-boot --enable-fips-image
```
Überprüfen Sie, ob Ihr Knotenpool ein Trusted-Launch-Image verwendet.

Trusted-Launch-Knoten haben folgende Ausgabe:
- Version des Node-Images, die sowohl "TL" als auch "FIPS" enthält.
- "Security-type" ist "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```

Erstellen Sie eine Vorlage mit den Parametern "Trusted Launch" und "FIPS". Überprüfen Sie vor dem Erstellen der Vorlage die folgenden Parameter:
- enableSecureBoot: Aktiviert den sicheren Start, um ein von einem vertrauenswürdigen Herausgeber signiertes Image zu authentifizieren.
- enableVTPM: Aktiviert vTPM und führt einen Nachweis durch Messen der gesamten Startkette Ihrer VM durch.
- enableFips: Aktiviert das FIPS-kompatible Knotenimage für den Knotenpool.
Geben Sie in Ihrer Vorlage Werte für enableVTPM, enableSecureBoot und enableFips an. Das Schema, das für die CLI-Bereitstellung verwendet wird, ist auch in der Definition Microsoft.ContainerService/managedClusters/agentPools unter "properties" verfügbar, wie im folgenden Beispiel zu sehen:
```
"properties": {
    ...,
    "osSKU": "Ubuntu",
    "enableFips": true,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Stellen Sie Ihre Vorlage mit vTPM, sicherem Start und FIPS auf Ihrem Cluster bereit. Ausführliche Anweisungen finden Sie unter Bereitstellen eines AKS-Clusters mithilfe einer ARM-Vorlage .

vTPM oder Secure Boot für einen vorhandenen Trusted-Launch-Knotenpool aktivieren

Sie können einen vorhandenen Knotenpool für vertrauenswürdige Starte aktualisieren, um vTPM oder den sicheren Start zu aktivieren. Folgende Szenarios werden unterstützt:

Beim Erstellen eines Knotenpools geben Sie nur --enable-secure-boot an; Sie können den Updatebefehl ausführen, um --enable-vtpm
Beim Erstellen eines Knotenpools geben Sie nur --enable-vtpm an; Sie können den Updatebefehl ausführen, um --enable-secure-boot

Wenn Ihr Knotenpool derzeit kein Trusted Launch-Image verwendet, können Sie den Knotenpool nicht aktualisieren, um Secure Boot oder vTPM zu aktivieren.

Überprüfen Sie, ob Ihr Knotenpool ein Trusted Launch-Image verwendet.

Trusted-Launch-Knoten haben folgende Ausgabe:
- Knoten-Image-Version mit "TL", zum Beispiel "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" sollte sein "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```
Wenn Ihr Knotenpool derzeit kein Trusted Launch-Image verwendet, können Sie den Knotenpool nicht aktualisieren, um Secure Boot oder vTPM zu aktivieren.
Aktualisieren Sie einen Knotenpool mit aktiviertem vertrauenswürdigen Start mithilfe des az aks nodepool update Befehls. Überprüfen Sie vor dem Ausführen des Befehls die folgenden Parameter:
- --resource-group: Geben Sie den Namen einer vorhandenen Ressourcengruppe ein, die Ihren vorhandenen AKS-Cluster hosten soll.
- --cluster-name: Geben Sie einen eindeutigen Namen für den AKS-Cluster ein, z. B. myAKSCluster.
- --name: Geben Sie den Namen Ihres Knotenpools ein, z. B. mynodepool.
- --enable-secure-boot: Aktiviert den sicheren Start, um zu authentifizieren, dass das Image von einem vertrauenswürdigen Herausgeber signiert wurde.
- --enable-vtpm: Aktiviert vTPM und führt einen Nachweis durch Messen der gesamten Startkette Ihrer VM durch.
Hinweis

Für den sicheren Start sind signierte Bootloader, Betriebssystemkernels und Treiber erforderlich. Sollten Ihre Knoten nach dem Aktivieren des sicheren Starts nicht mehr starten, können Sie überprüfen, welche Startkomponenten für Fehler beim sicheren Start innerhalb eines virtuellen Azure-Linux-Computers verantwortlich sind. Weitere Informationen finden Sie unter Überprüfen von Fehlern beim sicheren Start.

Im folgenden Beispiel wird der Knotenpool mynodepool im myAKSCluster in der myResourceGroup aktualisiert und vTPM aktiviert. In diesem Szenario wurde der sichere Start während der Erstellung des Knotenpools aktiviert:
```
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-vtpm 
```
Im folgenden Beispiel wird der Knotenpool mynodepool im myAKSCluster in der myResourceGroup aktualisiert und der sichere Start aktiviert. In diesem Szenario wurde vTPM während der Erstellung des Knotenpools aktiviert:
```
az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --enable-secure-boot
```

Überprüfen Sie, ob Ihr Knotenpool ein Trusted Launch-Image verwendet.

Trusted-Launch-Knoten haben folgende Ausgabe:
- Knoten-Image-Version mit "TL", zum Beispiel "AKSUbuntu-2204-gen2TLcontainerd".
- "Security-type" sollte sein "Trusted Launch".
```
kubectl get nodes
kubectl describe node {node-name} | grep -e node-image-version -e security-type
```
Wenn Ihr Knotenpool derzeit kein Trusted Launch-Image verwendet, können Sie den Knotenpool nicht aktualisieren, um Secure Boot oder vTPM zu aktivieren.
Erstellen Sie eine Vorlage mit vertrauenswürdigen Startparametern. Überprüfen Sie vor dem Erstellen der Vorlage die folgenden Parameter:
- enableSecureBoot: Aktiviert den sicheren Start, um ein von einem vertrauenswürdigen Herausgeber signiertes Image zu authentifizieren.
- enableVTPM: Aktiviert vTPM und führt einen Nachweis durch Messen der gesamten Startkette Ihrer VM durch.
Geben Sie in Ihrer Vorlage Werte für enableVTPM und enableSecureBoot. Das Schema, das für die CLI-Bereitstellung verwendet wird, ist auch in der Definition Microsoft.ContainerService/managedClusters/agentPools unter "properties" verfügbar, wie im folgenden Beispiel zu sehen:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "true",
        "enableSecureBoot": "true",
    }
}
```
Stellen Sie Ihre Vorlage mit vTPM bereit, und aktivieren Sie den sicheren Start auf Ihrem Cluster. Ausführliche Anweisungen finden Sie unter Bereitstellen eines AKS-Clusters mithilfe einer ARM-Vorlage .

Pods Knoten mit aktiviertem Trusted Launch zuweisen

Sie können einen Pod einschränken und festlegen, dass er nur auf einem bestimmten Knoten oder bestimmten Knoten ausgeführt wird, oder eine Präferenz für Knoten mit aktiviertem Trusted Launch festlegen. Dies kann mithilfe der folgenden Knotenpoolauswahl in Ihrem Podmanifest gesteuert werden.

spec:
  nodeSelector:
        kubernetes.azure.com/security-type = "TrustedLaunch"

Deaktivieren von vTPM oder Secure Boot in einem vorhandenen Trusted Launch-Knotenpool

Sie können einen vorhandenen Knotenpool aktualisieren, um vTPM oder den sicheren Start zu deaktivieren. Wenn dies geschieht, bleiben Sie weiterhin auf dem Trusted-Launch-Image. Sie können vTPM oder den sicheren Start jederzeit wieder aktivieren, indem Sie Den Knotenpool aktualisieren.

Aktualisieren Sie einen Knotenpool, um den sicheren Start oder vTPM mithilfe des az aks nodepool update Befehls zu deaktivieren. Überprüfen Sie vor dem Ausführen des Befehls die folgenden Parameter:

--resource-group: Geben Sie den Namen einer vorhandenen Ressourcengruppe ein, die Ihren vorhandenen AKS-Cluster hosten soll.
--cluster-name: Geben Sie einen eindeutigen Namen für den AKS-Cluster ein, z. B. myAKSCluster.
--name: Geben Sie den Namen Ihres Knotenpools ein, z. B. mynodepool.
--enable-secure-boot: Aktiviert den sicheren Start, um zu authentifizieren, dass das Image von einem vertrauenswürdigen Herausgeber signiert wurde.
--enable-vtpm: Aktiviert vTPM und führt einen Nachweis durch Messen der gesamten Startkette Ihrer VM durch.

So deaktivieren Sie vTPM in einem vorhandenen Knotenpool:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-vtpm

So deaktivieren Sie den sicheren Start in einem vorhandenen Knotenpool:

az aks nodepool update --cluster-name myCluster --resource-group myResourceGroup --name mynodepool --disable-secure-boot

Erstellen Sie eine Vorlage mit vertrauenswürdigen Startparametern. Überprüfen Sie vor dem Erstellen der Vorlage die folgenden Parameter:
- enableSecureBoot: Aktiviert den sicheren Start, um ein von einem vertrauenswürdigen Herausgeber signiertes Image zu authentifizieren.
- enableVTPM: Aktiviert vTPM und führt einen Nachweis durch Messen der gesamten Startkette Ihrer VM durch.
Geben Sie in Ihrer Vorlage Werte für enableVTPM und enableSecureBoot. Das Schema, das für die CLI-Bereitstellung verwendet wird, ist auch in der Definition Microsoft.ContainerService/managedClusters/agentPools unter "properties" verfügbar, wie im folgenden Beispiel zu sehen:
```
"properties": {
    ...,
    "securityProfile": {
        "enableVTPM": "false",
        "enableSecureBoot": "false",
    }
}
```
Stellen Sie Ihre Vorlage mit vTPM bereit, und der sichere Start ist auf Ihrem Cluster deaktiviert. Ausführliche Anweisungen finden Sie unter Bereitstellen eines AKS-Clusters mithilfe einer ARM-Vorlage .

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Trusted Launch aktivieren. Weitere Informationen zu Trusted Launch.

Feedback

War diese Seite hilfreich?

Last updated on 2026-06-18