التشفير المستند إلى المضيف في خدمة Azure Kubernetes (AKS)

مقالة
08/02/2024

من خلال التشفير المستند إلى المضيف، يتم تشفير البيانات المخزنة على مضيف VM الخاص بعقد وكيل AKS في حالة السكون ويتم تشفير التدفقات إلى خدمة التخزين. هذا يعني أن الأقراص المؤقتة يتم تشفيرها في وضع الراحة باستخدام مفاتيح تُدار بواسطة النظام الأساسي. يتم تشفير ذاكرة التخزين المؤقت لنظام التشغيل وأقراص البيانات في حالة عدم وجود مفاتيح مُدارة بواسطة النظام الأساسي أو مفاتيح مُدارة بواسطة العميل وفقاً لنوع التشفير المحدد على تلك الأقراص.

بشكل افتراضي، عند استخدام AKS، يستخدم نظام التشغيل وأقراص البيانات التشفير من جانب الخادم باستخدام مفاتيح مدارة بواسطة النظام الأساسي. يتم تشفير ذاكرة التخزين المؤقت لهذه الأقراص الثابتة باستخدام مفاتيح مدارة بواسطة النظام الأساسي. يمكنك تحديد المفاتيح المُدارة الخاصة بك باتباع إحضار المفاتيح الخاصة بك (BYOK) باستخدام أقراص Azure في خدمة Azure Kubernetes . يتم أيضا تشفير ذاكرة التخزين المؤقت لهذه الأقراص باستخدام المفتاح الذي تحدده.

يختلف التشفير المستند إلى المضيف عن التشفير من جانب الخادم (SSE)، والذي يستخدمه تخزين Azure. تستخدم الأقراص المدارة من Azure تخزين Azure لتشفير البيانات الثابتة تلقائيا عند حفظ البيانات. يستخدم التشفير المستند إلى المضيف مضيف الجهاز الظاهري لمعالجة التشفير قبل تدفق البيانات عبر تخزين Azure.

قبل البدء

قبل البدء، راجع المتطلبات الأساسية والقيود التالية.

المتطلبات الأساسية

تأكد من تثبيت ملحق CLI الإصدار 2.23 أو أعلى.

القيود

يمكن تعيين هذه الميزة فقط في وقت إنشاء مجموعة أو تجمع عقدة.
يمكن تمكين هذه الميزة فقط في مناطق Azure التي تدعم التشفير من جانب الخادم للأقراص المدارة من Azure وبأحجام أجهزة ظاهرية معينة مدعومة فقط.
تتطلب هذه الميزة مجموعة AKS وتجمع عقدة استنادا إلى مجموعات مقياس الجهاز الظاهري كنوع مجموعة الجهاز الظاهري.

استخدام التشفير المستند إلى المضيف في مجموعات جديدة

إنشاء مجموعة جديدة وتكوين عقد عامل نظام المجموعة لاستخدام التشفير المستند إلى المضيف باستخدام az aks create الأمر مع العلامة --enable-encryption-at-host .
```
az aks create \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --storage-pool-sku Standard_DS2_v2 \
    --location westus2 \
    --enable-encryption-at-host \
    --generate-ssh-keys
```

استخدم التشفير المستند إلى المضيف في المجموعات الموجودة

تمكين التشفير المستند إلى المضيف على نظام مجموعة موجود عن طريق إضافة تجمع عقدة جديد باستخدام az aks nodepool add الأمر مع العلامة --enable-encryption-at-host .
```
az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
```

الخطوات التالية

مراجعة أفضل الممارسات لأمان نظام مجموعة AKS.
اقرأ المزيد حول التشفير المستند إلى المضيف.

مشاركة عبر