Federal Information Processing Standard (FIPS) inschakelen voor Azure Kubernetes Service (AKS) knooppuntgroepen

De Federal Information Processing Standard (FIPS) 140-2 is een Amerikaanse overheidsstandaard waarin de minimale veiligheidsvereisten zijn vastgelegd voor cryptografische modules in informatietechnologieproducten en -systemen. Azure Kubernetes Service (AKS) stelt u in staat om Linux- en Windows-knooppuntgroepen te maken met FIPS 140-2 ingeschakeld. Implementaties die worden uitgevoerd op FIPS-knooppuntgroepen kunnen deze cryptografische modules gebruiken om betere beveiliging te bieden en om zo te voldoen aan beveiligingscontroles als onderdeel van FedRAMP-naleving. Zie Federal Information Processing Standard (FIPS) 140-2 voor meer informatie over FIPS 140.

Belangrijk

Vanaf March 17, 2027 biedt Azure Kubernetes Service (AKS) geen beveiligingsupdates meer voor Ubuntu 20.04. Bestaande knooppuntinstallatiekopieën worden verwijderd en u kunt geen knooppuntgroepen schalen met Ubuntu 20.04. Migreer naar een ondersteunde Ubuntu-versie door uw knooppuntgroepen te upgraden naar Kubernetes versie 1.35+. Zie het GitHub-issue over buitengebruikstelling en de aankondiging van Azure Updates voor buitengebruikstelling voor meer informatie over deze buitengebruikstelling. Als u op de hoogte wilt blijven van aankondigingen en updates, volgt u de releaseopmerkingen van AKS.

Belangrijk

Vanaf November 30, 2025 biedt Azure Kubernetes Service (AKS) geen beveiligingsupdates meer voor Azure Linux 2.0. De Azure Linux 2.0-knooppuntafbeelding is bevroren op de 202512.06.0 release. Vanaf 31 maart 2026 worden knooppuntafbeeldingen verwijderd en kunt u uw knooppoolen niet schalen. Migreer naar een ondersteunde Azure Linux-versie door upgrading van uw knooppuntgroepen naar een ondersteunde Kubernetes-versie of migratie naar osSku AzureLinux3. Zie voor meer informatie de Retirement GitHub-issue en de aankondiging over de buitengebruikstelling van Azure Updates. Als u op de hoogte wilt blijven van aankondigingen en updates, volgt u de releaseopmerkingen van AKS.

Vereisten

  • Een actief Azure-abonnement. Als u geen Azure-abonnement hebt, maakt u een vrij account voordat u begint.

  • Stel de abonnementscontext in met behulp van de az account set opdracht. Voorbeeld:

    az account set --subscription "00000000-0000-0000-0000-000000000000"

  • kubectl geïnstalleerd. U kunt deze lokaal installeren met behulp van de az aks install-cli opdracht.

Versiecompatibiliteit

  • Azure CLI versie 2.32.0 of hoger geïnstalleerd en geconfigureerd. Voer az --version uit om de versie te zoeken. Zie Install Azure CLI voor meer informatie over het installeren of upgraden van de Azure CLI.
  • Arm-sjabloonvoorbeelden in dit artikel gebruiken API-versie 2023-03-01 voor Microsoft.ContainerService/managedClusters en Microsoft.ContainerService/managedClusters/agentPools.
  • Bicep voorbeelden in dit artikel gebruiken API-versie 2023-03-01 voor Microsoft.ContainerService/managedClusters en Microsoft.ContainerService/managedClusters/agentPools.
  • Terraform-voorbeelden in dit artikel gebruiken de AzureRM-provider 3.x.
  • Voor Terraform FIPS-instellingen gebruikt u enable_fips_image aan azurerm_kubernetes_cluster.default_node_pool en fips_enabled aan azurerm_kubernetes_cluster_node_pool.

Beperkingen

Knooppuntgroepen met FIPS-functionaliteit hebben de volgende beperkingen:

  • Voor FIPS-knooppuntgroepen is Kubernetes versie 1.19 en hoger vereist.
  • Als u de onderliggende pakketten of modules wilt bijwerken die worden gebruikt voor FIPS, moet u de upgrade van de knooppuntinstallatiekopie gebruiken.
  • Containerafbeeldingen op de FIPS-knooppunten worden niet beoordeeld op FIPS-naleving.
  • Het koppelen van een CIFS-share mislukt omdat fips sommige verificatiemodules uitschakelt. Zie Fouten bij het koppelen van een bestandsshare in een knooppuntgroep met FIPS-functionaliteit om dit probleem te omzeilen.
  • Knooppuntgroepen met FIPS-functionaliteit met Arm64-VM's worden alleen ondersteund met Azure Linux 3.0+.
  • De AKS-bewakingsinvoegtoepassing ondersteunt FIPS-knooppuntgroepen met Ubuntu, Azure Linux en Windows vanaf agentversie 3.1.17 (Linux) en Win-3.1.17 (Windows).

Belangrijk

De linux-installatiekopie met FIPS-functionaliteit is een andere installatiekopie dan de standaardinstallatiekopie van Linux die wordt gebruikt voor linux-knooppuntgroepen.

Knooppuntinstallatiekopieën met FIPS-functionaliteit kunnen verschillende versienummers hebben, zoals kernelversie, dan installatiekopieën die niet zijn ingeschakeld voor FIPS. De updatecyclus voor fips-knooppuntgroepen en knooppuntinstallatiekopieën kan verschillen van knooppuntgroepen en installatiekopieën die niet zijn ingeschakeld voor FIPS.

Ondersteunde besturingssysteemversies

U kunt knooppuntgroepen met FIPS-functionaliteit maken op alle ondersteunde typen besturingssystemen (Linux en Windows). Niet alle versies van het besturingssysteem ondersteunen echter FIPS-knooppuntgroepen. Nadat een nieuwe versie van het besturingssysteem is uitgebracht, is er doorgaans een wachttijd voordat deze compatibel is met FIPS.

De volgende tabel bevat de ondersteunde besturingssysteemversies voor FIPS-knooppuntgroepen:

Type besturingssysteem SKU van het besturingssysteem FIPS-naleving Verstek
Linux Ubuntu Ondersteund Standaard uitgeschakeld
Linux Azure Linux Ondersteund Standaard uitgeschakeld
Windows Windows Server 2022 Ondersteund Is standaard ingeschakeld
Windows Windows Server 2025 Ondersteund Standaard ingeschakeld en kan niet worden uitgeschakeld

Bij het aanvragen van FIPS-enabled Ubuntu, als de standaardVersie van Ubuntu geen ondersteuning biedt voor FIPS, wordt AKS standaard ingesteld op de meest recente, door FIPS ondersteunde versie van Ubuntu. Ubuntu 22.04 is bijvoorbeeld standaard voor Linux-knooppuntgroepen. Omdat 22.04 momenteel geen ondersteuning biedt voor FIPS, wordt AKS standaard ingesteld op Ubuntu 20.04 voor Linux FIPS-knooppuntgroepen.

Notitie

Eerder kunt u de GetOSOptions API gebruiken om te bepalen of een bepaald besturingssysteem FIPS ondersteunt. De GetOSOptions API is nu afgeschaft en is niet meer opgenomen in nieuwe AKS-API-versies vanaf 2024-05-01.

Het Terraform-configuratiebestand maken

Terraform-configuratiebestanden definiëren de infrastructuur die Terraform maakt en beheert.

  1. Maak een bestand met de naam main.tf en voeg de volgende code toe om de Terraform-versie te definiëren en geef de Azure-provider op:

    terraform {
  required_version = ">= 1.0"

  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~> 3.0"
    }
  }
}

provider "azurerm" {
  features {}
}

  2. Voeg de volgende code toe aan main.tf om een Azure resourcegroep te maken. U kunt desgewenst de naam en locatie van de resourcegroep wijzigen.

    resource "azurerm_resource_group" "example" {
  name     = "example-fips-rg"
  location = "East US"
}

Een AKS-cluster maken met een standaardknooppuntgroep waarin FIPS is ingeschakeld

U kunt FIPS inschakelen voor de standaardknooppuntgroep bij het maken van een nieuw AKS-cluster.

Wanneer u meer knooppuntgroepen maakt op een cluster dat al een standaardknooppuntgroep met FIPS-functionaliteit heeft, moet u ook FIPS inschakelen voor de nieuwe knooppuntgroepen met behulp van de --enable-fips-image parameter.

  1. Maak een AKS-cluster waarvoor FIPS is ingeschakeld in de standaardknooppuntgroep met behulp van de az aks create opdracht met de --enable-fips-image parameter.

    az aks create \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --node-count 3 \
    --enable-fips-image

  2. Controleer of uw knooppuntgroep is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de standaardknooppuntgroep is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
nodepool1  True

FIPS inschakelen tijdens het maken van een AKS-cluster wordt momenteel niet ondersteund in de Azure-portal. Als u een cluster met een standaardknooppuntgroep met FIPS wilt maken, gebruikt u de instructies Azure CLI, ARM-sjabloon, Bicep of Terraform in dit artikel.

Wanneer u meer knooppuntgroepen maakt op een cluster dat al een standaardknooppuntgroep met FIPS-functionaliteit heeft, moet u OOK FIPS inschakelen voor de nieuwe knooppuntgroepen door in te stellen enableFips op true.

  1. Maak een AKS-cluster waarvoor FIPS is ingeschakeld in de standaardknooppuntgroep met behulp van een ARM-sjabloon door de enableFips eigenschap true in te stellen op het profiel van de agentgroep. Voorbeeld:

    {
  "type": "Microsoft.ContainerService/managedClusters",
  "location": "[parameters('location')]",
  "name": "[parameters('clusterName')]",
  "properties": {
    "kubernetesVersion": "1.27",
    "enableRBAC": true,
    "dnsPrefix": "[parameters('dnsPrefix')]",
    "agentPoolProfiles": [
      {
        "name": "nodepool1",
        "count": 3,
        "vmSize": "Standard_D2s_v3",
        "osType": "Linux",
        "osSKU": "Ubuntu",
        "type": "VirtualMachineScaleSets",
        "mode": "System",
        "enableFips": true
      }
    ]
  },
  "identity": {
    "type": "SystemAssigned"
  }
}

  2. Implementeer de ARM-sjabloon met behulp van de Azure-portal, Azure CLI of Azure PowerShell. Zie Resources implementeren met ARM-sjablonen voor meer informatie over het implementeren van ARM-sjablonen.

  3. Controleer of uw knooppuntgroep is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de standaardknooppuntgroep is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
nodepool1  True

Wanneer u meer knooppuntgroepen maakt op een cluster dat al een standaardknooppuntgroep met FIPS-functionaliteit heeft, moet u OOK FIPS inschakelen voor de nieuwe knooppuntgroepen door in te stellen enableFIPS op true.

  1. Maak een AKS-cluster waarvoor FIPS is ingeschakeld in de standaardknooppuntgroep met behulp van Bicep door enableFIPS in te stellen op true in het profiel van de agentgroep. Voorbeeld:

    param location string
param clusterName string
param dnsPrefix string

resource aks 'Microsoft.ContainerService/managedClusters@2023-03-01' = {
  name: clusterName
  location: location
  identity: {
    type: 'SystemAssigned'
  }
  properties: {
    kubernetesVersion: '1.27'
    enableRBAC: true
    dnsPrefix: dnsPrefix
    agentPoolProfiles: [
      {
        name: 'nodepool1'
        count: 3
        vmSize: 'Standard_D2s_v3'
        osType: 'Linux'
        osSKU: 'Ubuntu'
        type: 'VirtualMachineScaleSets'
        mode: 'System'
        enableFIPS: true
      }
    ]
  }
}

  2. Implementeer het Bicep-bestand met behulp van de Azure CLI, Azure PowerShell of de Azure-portal. Zie Maak Bicep bestanden met Visual Studio Code voor meer informatie over het implementeren van Bicep bestanden.

  3. Controleer of uw knooppuntgroep is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de standaardknooppuntgroep is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
nodepool1  True

Wanneer u meer knooppuntgroepen maakt op een cluster dat al een standaardknooppuntgroep met FIPS-functionaliteit heeft, moet u ook FIPS inschakelen voor de nieuwe knooppuntgroepen door fips_enabled in te stellen op true op azurerm_kubernetes_cluster_node_pool.

  1. Voeg de volgende code toe aan main.tf om een AKS-cluster te maken waarvoor FIPS is ingeschakeld in de standaardknooppuntgroep:

    resource "azurerm_kubernetes_cluster" "example" {
  name                = "example-aks-cluster"
  location            = azurerm_resource_group.example.location
  resource_group_name = azurerm_resource_group.example.name
  dns_prefix          = "example-aks"

  default_node_pool {
    name              = "nodepool1"
    node_count        = 3
    vm_size           = "Standard_D2s_v3"
    os_sku            = "Ubuntu"
    enable_fips_image = true
  }

  identity {
    type = "SystemAssigned"
  }
}

  2. Initialiseer Terraform in de map met het main.tf bestand met behulp van de terraform init opdracht.

    terraform init

  3. Maak een Terraform-uitvoeringsplan met behulp van de terraform plan opdracht.

    terraform plan

  4. Pas de configuratie toe met behulp van de terraform apply opdracht om het cluster te implementeren met een standaardknooppuntgroep met FIPS-functionaliteit.

    terraform apply

  5. Maak verbinding met het AKS-cluster met behulp van de opdracht [az aks get-credentials][az-aks-get-credentials].

    az aks get-credentials \
    --resource-group myResourceGroup \
    --name myAKSCluster

  6. Controleer of uw knooppuntgroep is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de standaardknooppuntgroep is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
nodepool1  True

Zie de documentatie van de Terraform Azure-provider voor meer informatie over de azurerm_kubernetes_cluster resource.

Een Linux-knooppuntgroep met FIPS-functionaliteit toevoegen aan een bestaand AKS-cluster

  1. Voeg een Linux-knooppuntgroep met FIPS-functionaliteit toe aan een bestaand cluster met behulp van de az aks nodepool add opdracht met de --enable-fips-image parameter.

    az aks nodepool add \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name fipsnp \
    --enable-fips-image

  2. Controleer de configuratie van uw knooppuntgroep met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de fipsnp-knooppuntgroep is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
fipsnp     True
nodepool1  False

  3. Vermeld de knooppunten met behulp van de kubectl get nodes opdracht.

    kubectl get nodes

    In de volgende voorbeelduitvoer ziet u een lijst met de knooppunten in het cluster. De knooppunten die beginnen met aks-fipsnp , maken deel uit van de knooppuntgroep waarvoor FIPS is ingeschakeld.

    NAME                                STATUS   ROLES   AGE     VERSION
aks-fipsnp-12345678-vmss000000      Ready    agent   6m4s    v1.19.9
aks-fipsnp-12345678-vmss000001      Ready    agent   5m21s   v1.19.9
aks-fipsnp-12345678-vmss000002      Ready    agent   6m8s    v1.19.9
aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9

  4. Voer een implementatie uit met een interactieve sessie op een van de knooppunten in de knooppuntgroep met FIPS-functionaliteit met behulp van de kubectl debug opdracht.

    kubectl debug node/aks-fipsnp-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0

  5. Controleer in de uitvoer van de interactieve sessie of de cryptografische FIPS-bibliotheken zijn ingeschakeld. De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:

    root@aks-fipsnp-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
1

    FIPS-nodepools hebben ook een kubernetes.azure.com/fips_enabled=true label, dat implementaties kunnen gebruiken om deze nodepools te selecteren.

FIPS inschakelen bij het toevoegen van een Linux-knooppuntgroep wordt momenteel niet ondersteund in de Azure-portal. Als u een Linux-knooppuntgroep met FIPS-functionaliteit wilt toevoegen, gebruikt u de instructies Azure CLI, ARM-sjabloon, Bicep of Terraform in dit artikel.

  1. Maak een Linux-knooppuntgroep met FIPS-functionaliteit met behulp van een ARM-sjabloon door een agentpoolresource te implementeren, waarbij de enableFips eigenschap is ingesteld op true. Voorbeeld:

    {
  "type": "Microsoft.ContainerService/managedClusters/agentPools",
  "apiVersion": "2023-03-01",
  "name": "[concat(parameters('clusterName'), '/fipsnp')]",
  "properties": {
    "count": 3,
    "vmSize": "Standard_D2s_v3",
    "osType": "Linux",
    "osSKU": "Ubuntu",
    "mode": "User",
    "enableFips": true
  }
}

  2. Implementeer de ARM-sjabloon met behulp van de Azure-portal, Azure CLI of Azure PowerShell. Zie Resources implementeren met ARM-sjablonen voor meer informatie over het implementeren van ARM-sjablonen.

  3. Controleer de configuratie van uw knooppuntgroep met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de fipsnp-knooppuntgroep is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
fipsnp     True
nodepool1  False

  4. Vermeld de knooppunten met behulp van de kubectl get nodes opdracht.

    kubectl get nodes

    In de volgende voorbeelduitvoer ziet u een lijst met de knooppunten in het cluster. De knooppunten die beginnen met aks-fipsnp , maken deel uit van de knooppuntgroep waarvoor FIPS is ingeschakeld.

    NAME                                STATUS   ROLES   AGE     VERSION
aks-fipsnp-12345678-vmss000000      Ready    agent   6m4s    v1.19.9
aks-fipsnp-12345678-vmss000001      Ready    agent   5m21s   v1.19.9
aks-fipsnp-12345678-vmss000002      Ready    agent   6m8s    v1.19.9
aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9

  5. Voer een implementatie uit met een interactieve sessie op een van de knooppunten in de knooppuntgroep met FIPS-functionaliteit met behulp van de kubectl debug opdracht.

    kubectl debug node/aks-fipsnp-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0

  6. Controleer in de uitvoer van de interactieve sessie of de cryptografische FIPS-bibliotheken zijn ingeschakeld. De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:

    root@aks-fipsnp-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
1

    FIPS-nodepools hebben ook een kubernetes.azure.com/fips_enabled=true label, dat implementaties kunnen gebruiken om deze nodepools te selecteren.

  1. Maak een linux-knooppuntgroep met FIPS-functionaliteit met behulp van Bicep door een agentgroepresource te implementeren met enableFIPS ingesteld op true. Voorbeeld:

    param clusterName string
param nodePoolName string = 'fipsnp'

resource nodePool 'Microsoft.ContainerService/managedClusters/agentPools@2023-03-01' = {
  name: '${clusterName}/${nodePoolName}'
  properties: {
    count: 3
    vmSize: 'Standard_D2s_v3'
    osType: 'Linux'
    osSKU: 'Ubuntu'
    mode: 'User'
    enableFIPS: true
  }
}

  2. Implementeer het Bicep-bestand met behulp van de Azure CLI, Azure PowerShell of de Azure-portal. Zie Maak Bicep bestanden met Visual Studio Code voor meer informatie over het implementeren van Bicep bestanden.

  3. Controleer de configuratie van uw knooppuntgroep met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de fipsnp-knooppuntgroep is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
fipsnp     True
nodepool1  False

  4. Vermeld de knooppunten met behulp van de kubectl get nodes opdracht.

    kubectl get nodes

    In de volgende voorbeelduitvoer ziet u een lijst met de knooppunten in het cluster. De knooppunten die beginnen met aks-fipsnp , maken deel uit van de knooppuntgroep waarvoor FIPS is ingeschakeld.

    NAME                                STATUS   ROLES   AGE     VERSION
aks-fipsnp-12345678-vmss000000      Ready    agent   6m4s    v1.19.9
aks-fipsnp-12345678-vmss000001      Ready    agent   5m21s   v1.19.9
aks-fipsnp-12345678-vmss000002      Ready    agent   6m8s    v1.19.9
aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9

  5. Voer een implementatie uit met een interactieve sessie op een van de knooppunten in de knooppuntgroep met FIPS-functionaliteit met behulp van de kubectl debug opdracht.

    kubectl debug node/aks-fipsnp-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0

  6. Controleer in de uitvoer van de interactieve sessie of de cryptografische FIPS-bibliotheken zijn ingeschakeld. De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:

    root@aks-fipsnp-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
1

    FIPS-nodepools hebben ook een kubernetes.azure.com/fips_enabled=true label, dat implementaties kunnen gebruiken om deze nodepools te selecteren.

  1. Voeg de volgende code toe aan main.tf om een Linux-knooppuntgroep met FIPS-ingeschakeld in uw AKS-cluster toe te voegen.

    resource "azurerm_kubernetes_cluster_node_pool" "fips_linux" {
  name                   = "fipsnp"
  kubernetes_cluster_id  = azurerm_kubernetes_cluster.example.id
  vm_size                = "Standard_D2s_v3"
  os_type                = "Linux"
  os_sku                 = "Ubuntu"
  node_count             = 3
  fips_enabled           = true

  node_taints = []
}

  2. Pas de bijgewerkte Terraform-configuratie toe met behulp van de terraform plan en terraform apply opdrachten.

    terraform plan
terraform apply

  3. Maak verbinding met het AKS-cluster met behulp van de opdracht [az aks get-credentials][az-aks-get-credentials].

    az aks get-credentials \
    --resource-group myResourceGroup \
    --name myAKSCluster

  4. Controleer de configuratie van uw knooppuntgroep met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de fipsnp-knooppuntgroep is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
fipsnp     True
nodepool1  False

  5. Vermeld de knooppunten met behulp van de kubectl get nodes opdracht.

    kubectl get nodes

    In de volgende voorbeelduitvoer ziet u een lijst met de knooppunten in het cluster. De knooppunten die beginnen met aks-fipsnp , maken deel uit van de knooppuntgroep waarvoor FIPS is ingeschakeld.

    NAME                                STATUS   ROLES   AGE     VERSION
aks-fipsnp-12345678-vmss000000      Ready    agent   6m4s    v1.19.9
aks-fipsnp-12345678-vmss000001      Ready    agent   5m21s   v1.19.9
aks-fipsnp-12345678-vmss000002      Ready    agent   6m8s    v1.19.9
aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9

  6. Voer een implementatie uit met een interactieve sessie op een van de knooppunten in de knooppuntgroep met FIPS-functionaliteit met behulp van de kubectl debug opdracht.

    kubectl debug node/aks-fipsnp-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0

  7. Controleer in de uitvoer van de interactieve sessie of de cryptografische FIPS-bibliotheken zijn ingeschakeld. De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:

    root@aks-fipsnp-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
1

    FIPS-nodepools hebben ook een kubernetes.azure.com/fips_enabled=true label, dat implementaties kunnen gebruiken om deze nodepools te selecteren.

Zie de Terraform Azure provider documentatie voor meer informatie over de azurerm_kubernetes_cluster_node_pool resource.

Een Windows-knooppuntgroep met FIPS-functionaliteit toevoegen

In deze sectie voegen we een Windows knooppuntgroep toe aan een bestaand AKS-cluster. Windows Server 2022 en latere node pools schakelen FIPS standaard in, zelfs als enableFipsTrue niet wordt weergegeven. Windows Server 2025 en hoger biedt geen ondersteuning voor het uitschakelen van FIPS.

  1. Maak een Windows-knooppuntgroep met behulp van de opdracht az aks nodepool add. In tegenstelling tot op Linux gebaseerde knooppuntgroepen delen Windows-knooppuntgroepen dezelfde afbeeldingsset.

    az aks nodepool add \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name fipsnp \
    --enable-fips-image \
    --os-type Windows

  2. Controleer de configuratie van uw knooppuntgroep met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

  3. Controleer of Windows knooppuntgroepen toegang hebben tot cryptografische FIPS-bibliotheken door een RDP-verbinding te maken met een Windows-knooppunt in een knooppuntgroep en het register te controleren. Voer in de toepassing 'Uitvoeren' in.

  4. Zoek naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy in het register.

  5. Als Enabled is ingesteld op 1, is FIPS ingeschakeld.

    De schermafbeelding toont de registereditor met het FIPS-algoritmebeleid en geeft aan dat het is ingeschakeld.

    FIPS-nodepools hebben ook een kubernetes.azure.com/fips_enabled=true label, dat implementaties kunnen gebruiken om deze nodepools te selecteren.

Er is geen Azure portalervaring om FIPS-instellingen voor Windows knooppuntgroepen in of uit te schakelen. Voor alle Windows knooppuntgroepen die zijn gemaakt met Azure portal, is FIPS ingeschakeld. Windows Server 2022 en nieuwere knooppuntgroepen standaard FIPS inschakelen en Windows Server 2025- en hoger-knooppuntgroepen bieden geen ondersteuning voor het uitschakelen van FIPS.

  1. Maak een Windows-knooppuntgroep met behulp van een ARM-sjabloon door een resource voor een agentgroep te implementeren met osType ingesteld op Windows. Voorbeeld:

    {
  "type": "Microsoft.ContainerService/managedClusters/agentPools",
  "apiVersion": "2023-03-01",
  "name": "[concat(parameters('clusterName'), '/fipsnp')]",
  "properties": {
    "count": 3,
    "vmSize": "Standard_D2s_v3",
    "osType": "Windows",
    "osSKU": "Windows2022",
    "mode": "User"
  }
}

  2. Implementeer de ARM-sjabloon met behulp van de Azure-portal, Azure CLI of Azure PowerShell. Zie Resources implementeren met ARM-sjablonen voor meer informatie over het implementeren van ARM-sjablonen.

  3. Controleer de configuratie van uw knooppuntgroep met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

  4. Controleer of Windows knooppuntgroepen toegang hebben tot cryptografische FIPS-bibliotheken door een RDP-verbinding te maken met een Windows-knooppunt in een knooppuntgroep en het register te controleren. Voer in de toepassing 'Uitvoeren' in.

  5. Zoek naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy in het register.

  6. Als Enabled is ingesteld op 1, is FIPS ingeschakeld.

    De schermafbeelding toont de registereditor met het FIPS-algoritmebeleid en geeft aan dat het is ingeschakeld.

    FIPS-nodepools hebben ook een kubernetes.azure.com/fips_enabled=true label, dat implementaties kunnen gebruiken om deze nodepools te selecteren.

  1. Maak een Windows knooppuntgroep met behulp van Bicep door een resource voor een agentgroep te implementeren met osType ingesteld op Windows. Voorbeeld:

    param clusterName string
param nodePoolName string = 'fipsnp'

resource nodePool 'Microsoft.ContainerService/managedClusters/agentPools@2023-03-01' = {
  name: '${clusterName}/${nodePoolName}'
  properties: {
    count: 3
    vmSize: 'Standard_D2s_v3'
    osType: 'Windows'
    osSKU: 'Windows2022'
    mode: 'User'
    enableFIPS: true
  }
}

  2. Implementeer het Bicep-bestand met behulp van de Azure CLI, Azure PowerShell of de Azure-portal. Zie Maak Bicep bestanden met Visual Studio Code voor meer informatie over het implementeren van Bicep bestanden.

  3. Controleer de configuratie van uw knooppuntgroep met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

  4. Controleer of Windows knooppuntgroepen toegang hebben tot cryptografische FIPS-bibliotheken door een RDP-verbinding te maken met een Windows-knooppunt in een knooppuntgroep en het register te controleren. Voer in de toepassing 'Uitvoeren' in.

  5. Zoek naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy in het register.

  6. Als Enabled is ingesteld op 1, is FIPS ingeschakeld.

    De schermafbeelding toont de registereditor met het FIPS-algoritmebeleid en geeft aan dat het is ingeschakeld.

    FIPS-nodepools hebben ook een kubernetes.azure.com/fips_enabled=true label, dat implementaties kunnen gebruiken om deze nodepools te selecteren.

  1. Voeg de volgende code toe aan main.tf om een Windows knooppuntgroep te maken in uw AKS-cluster:

    resource "azurerm_kubernetes_cluster_node_pool" "fips_windows" {
  name                   = "fipsnp"
  kubernetes_cluster_id  = azurerm_kubernetes_cluster.example.id
  vm_size                = "Standard_D2s_v3"
  os_type                = "Windows"
  os_sku                 = "Windows2022"
  node_count             = 3
  fips_enabled           = true

  node_taints = []
}

  2. Pas de bijgewerkte Terraform-configuratie toe met behulp van de terraform plan en terraform apply opdrachten.

    terraform plan
terraform apply

  3. Maak verbinding met het AKS-cluster met behulp van de opdracht [az aks get-credentials][az-aks-get-credentials].

    az aks get-credentials \
    --resource-group myResourceGroup \
    --name myAKSCluster

  4. Controleer de configuratie van uw knooppuntgroep met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

  5. Controleer of Windows knooppuntgroepen toegang hebben tot cryptografische FIPS-bibliotheken door een RDP-verbinding te maken met een Windows-knooppunt in een knooppuntgroep en het register te controleren. Voer in de toepassing 'Uitvoeren' in.

  6. Zoek naar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy in het register.

  7. Als Enabled is ingesteld op 1, is FIPS ingeschakeld.

    De schermafbeelding toont de registereditor met het FIPS-algoritmebeleid en geeft aan dat het is ingeschakeld.

    FIPS-nodepools hebben ook een kubernetes.azure.com/fips_enabled=true label, dat implementaties kunnen gebruiken om deze nodepools te selecteren.

Een bestaande knooppuntgroep bijwerken om FIPS in of uit te schakelen

Bestaande Linux-knooppuntgroepen kunnen worden bijgewerkt om FIPS in of uit te schakelen. Als u van plan bent om uw knooppuntgroepen van niet-FIPS naar FIPS te migreren, controleert u eerst of uw toepassing goed werkt in een testomgeving voordat u deze migreert naar een productieomgeving. Het valideren van uw toepassing in een testomgeving moet problemen voorkomen die worden veroorzaakt door de FIPS-kernel die een zwak coderings- of versleutelingsalgoritme blokkeert, zoals een MD4-algoritme dat niet compatibel is met FIPS.

Notitie

Wanneer u een bestaande Linux-knooppuntgroep bijwerkt om FIPS in of uit te schakelen, wordt de update van de knooppuntgroep verplaatst tussen de fips- en niet-fifips-installatiekopie. Deze bijwerking van de nodepool start een herinstallatie om de update te voltooien. Hierdoor kan het enkele minuten duren voordat de update van de knooppuntgroep is voltooid.

Vereisten voor het bijwerken van een bestaande knooppuntgroep

Azure CLI versie 2.64.0 of hoger. Voer az --version uit om de versie te zoeken. Zie Install Azure CLI als u de Azure CLI wilt installeren of upgraden.

FIPS inschakelen voor een bestaande knooppuntgroep

U kunt bestaande Linux-knooppuntgroepen bijwerken om FIPS in te schakelen. Wanneer u een bestaande knooppuntgroep bijwerkt, verandert de knooppuntinstallatiekopie van de huidige installatiekopie in de aanbevolen FIPS-installatiekopie van dezelfde SKU van het besturingssysteem.

  1. Werk een knooppuntgroep bij met behulp van de az aks nodepool update opdracht met de --enable-fips-image parameter.

    az aks nodepool update \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name np \
    --enable-fips-image

    Met dit commando wordt de knooppool direct opnieuw geïmageerd om het FIPS-conforme besturingssysteem te implementeren. De herinstallatie vindt plaats tijdens de update van de node-pool. Er zijn geen extra stappen vereist.

  2. Controleer of uw knooppuntgroep is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de np-knooppool FIPS-geactiveerd is:

    Name       enableFips
---------  ------------
np         True
nodepool1  False

FIPS inschakelen voor een bestaande knooppool wordt momenteel niet ondersteund in de Azure-portal. Als u FIPS wilt inschakelen voor een bestaande knooppuntgroep, gebruikt u de instructies Azure CLI, ARM-sjabloon, Bicep of Terraform in dit artikel.

  1. Schakel FIPS in voor een bestaande knooppuntgroep met behulp van een ARM-sjabloon door het profiel van de agentgroep bij te werken om de enableFips eigenschap truein te stellen op . Voorbeeld:

    {
  "type": "Microsoft.ContainerService/managedClusters/agentPools",
  "name": "[concat(parameters('clusterName'), '/np')]",
  "apiVersion": "2023-03-01",
  "properties": {
    "enableFips": true
  }
}

  2. Implementeer de bijgewerkte sjabloon met behulp van de Azure-portal, Azure CLI of Azure PowerShell. Zie Resources implementeren met ARM-sjablonen voor meer informatie over het implementeren van ARM-sjablonen.

  3. Controleer of uw knooppuntgroep is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de np-knooppool FIPS-geactiveerd is:

    Name       enableFips
---------  ------------
np         True
nodepool1  False

  1. Schakel FIPS in voor een bestaande knooppuntgroep met behulp van Bicep door de resource van de agentgroep bij te werken om enableFIPS in te stellen op true. Voorbeeld:

    param clusterName string
param nodePoolName string = 'np'

resource nodePool 'Microsoft.ContainerService/managedClusters/agentPools@2023-03-01' = {
  name: '${clusterName}/${nodePoolName}'
  properties: {
    enableFIPS: true
  }
}

  2. Implementeer het bijgewerkte Bicep-bestand met behulp van de Azure CLI, Azure PowerShell of de Azure-portal. Zie Maak Bicep bestanden met Visual Studio Code voor meer informatie over het implementeren van Bicep bestanden.

  3. Controleer of uw knooppuntgroep is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de np-knooppool FIPS-geactiveerd is:

    Name       enableFips
---------  ------------
np         True
nodepool1  False

  1. Werk de resource bij in azurerm_kubernetes_cluster_node_pool door fips_enabled in te stellen op true in main.tf.

    resource "azurerm_kubernetes_cluster_node_pool" "example" {
  name                   = "np"
  kubernetes_cluster_id  = azurerm_kubernetes_cluster.example.id
  vm_size                = "Standard_D2s_v3"
  os_type                = "Linux"
  os_sku                 = "Ubuntu"
  node_count             = 3
  fips_enabled           = true
}

  2. Pas de bijgewerkte Terraform-configuratie toe met behulp van de terraform plan en terraform apply opdrachten. Terraform detecteert de wijziging in fips_enabled en activeert de benodigde reimagebewerking.

    terraform plan
terraform apply

  3. Maak verbinding met het AKS-cluster met behulp van de opdracht [az aks get-credentials][az-aks-get-credentials].

    az aks get-credentials \
    --resource-group myResourceGroup \
    --name myAKSCluster

  4. Controleer of uw knooppuntgroep is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de np-knooppool FIPS-geactiveerd is:

    Name       enableFips
---------  ------------
np         True
nodepool1  False

FIPS uitschakelen voor een bestaande knooppuntgroep

U kunt bestaande Linux-knooppuntgroepen bijwerken om FIPS uit te schakelen. Wanneer u een bestaande knooppuntgroep bijwerkt, wordt de afbeeldingsversie van het knooppunt gewijzigd van de huidige FIPS-versie naar de aanbevolen niet-FIPS-versie van hetzelfde besturingssysteem-SKU. De wijziging van de knooppuntafbeelding vindt plaats na een herinstallatie.

  1. Werk een Linux-knooppuntgroep bij met behulp van de az aks nodepool update opdracht met de --disable-fips-image parameter.

    az aks nodepool update \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name np \
    --disable-fips-image

    Met deze opdracht wordt onmiddellijk een herinstallatie van de knooppool geactiveerd om het FIPS-conforme besturingssysteem te implementeren. De herinstallatie vindt plaats tijdens de update van de node-pool. Er zijn geen extra stappen vereist.

  2. Controleer of uw knooppuntgroep niet is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    In de volgende voorbeelduitvoer ziet u dat de NP-knooppuntgroep niet is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
np         False
nodepool1  False

FIPS uitschakelen voor een bestaande knooppuntgroep wordt momenteel niet ondersteund in de Azure-portaal. Als u FIPS wilt uitschakelen voor een bestaande knooppuntgroep, gebruikt u de instructies Azure CLI, ARM-sjabloon, Bicep of Terraform in dit artikel.

  1. Schakel FIPS uit voor een bestaande knooppuntgroep met behulp van een ARM-sjabloon door het profiel van de agentgroep bij te werken om de enableFips eigenschap falsein te stellen op . Voorbeeld:

    {
  "type": "Microsoft.ContainerService/managedClusters/agentPools",
  "name": "[concat(parameters('clusterName'), '/np')]",
  "apiVersion": "2023-03-01",
  "properties": {
    "enableFips": false
  }
}

  2. Implementeer de bijgewerkte sjabloon met behulp van de Azure-portal, Azure CLI of Azure PowerShell. Zie Resources implementeren met ARM-sjablonen voor meer informatie over het implementeren van ARM-sjablonen.

  3. Controleer of uw knooppuntgroep niet is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
  --resource-group myResourceGroup \
  --name myAKSCluster \
  --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
  -o table

    In de volgende voorbeelduitvoer ziet u dat de NP-knooppuntgroep niet is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
np         False
nodepool1  False

  1. Schakel FIPS uit voor een bestaande knooppuntgroep met behulp van Bicep door de resource van de agentgroep bij te werken om enableFIPS in te stellen op false. Voorbeeld:

    param clusterName string
param nodePoolName string = 'np'

resource nodePool 'Microsoft.ContainerService/managedClusters/agentPools@2023-03-01' = {
  name: '${clusterName}/${nodePoolName}'
  properties: {
    enableFIPS: false
  }
}

  2. Implementeer het bijgewerkte Bicep-bestand met behulp van de Azure CLI, Azure PowerShell of de Azure-portal. Zie Maak Bicep bestanden met Visual Studio Code voor meer informatie over het implementeren van Bicep bestanden.

  3. Controleer of uw knooppuntgroep niet is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
  --resource-group myResourceGroup \
  --name myAKSCluster \
  --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
  -o table

    In de volgende voorbeelduitvoer ziet u dat de NP-knooppuntgroep niet is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
np         False
nodepool1  False

  1. Werk de resource azurerm_kubernetes_cluster_node_pool bij in main.tf door fips_enabled in te stellen op false:

    resource "azurerm_kubernetes_cluster_node_pool" "example" {
  name                   = "np"
  kubernetes_cluster_id  = azurerm_kubernetes_cluster.example.id
  vm_size                = "Standard_D2s_v3"
  os_type                = "Linux"
  os_sku                 = "Ubuntu"
  node_count             = 3
  fips_enabled           = false
}

  2. Pas de bijgewerkte Terraform-configuratie toe met behulp van de terraform plan en terraform apply opdrachten. Terraform detecteert de wijziging in fips_enabled en activeert de benodigde reimagebewerking.

    terraform plan
terraform apply

  3. Controleer of uw knooppuntgroep niet is ingeschakeld voor FIPS met behulp van de az aks show opdracht en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

    az aks show \
  --resource-group myResourceGroup \
  --name myAKSCluster \
  --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
  -o table

    In de volgende voorbeelduitvoer ziet u dat de NP-knooppuntgroep niet is ingeschakeld voor FIPS:

    Name       enableFips
---------  ------------
np         False
nodepool1  False

Bericht van de dag

U kunt het bericht van de dag (MOTD) op Linux-knooppunten vervangen met behulp van de vlag bij het --message-of-the-day maken van een cluster of het toevoegen van een knooppuntgroep.

Maak een cluster en vervang het bericht van de dag met behulp van de az aks create opdracht door de --message-of-the-day vlag ingesteld op het pad van het nieuwe MOTD-bestand.

az aks create --cluster-name myAKSCluster --resource-group myResourceGroup --message-of-the-day ./newMOTD.txt

Voeg een knooppuntgroep toe en vervang het bericht van de dag met behulp van de az aks nodepool add opdracht door de --message-of-the-day vlag die is ingesteld op het pad van het nieuwe MOTD-bestand.

az aks nodepool add --name mynodepool1 --cluster-name myAKSCluster --resource-group myResourceGroup --message-of-the-day ./newMOTD.txt

Verwante inhoud

Zie Best practices voor clusterbeveiliging en -upgrades in Azure Kubernetes Service (AKS) voor meer informatie over AKS-beveiliging.

  • Last updated on