التشفير المستند إلى المضيف في خدمة Azure Kubernetes (AKS)

من خلال التشفير المستند إلى المضيف، يتم تشفير البيانات المخزنة على مضيف VM الخاص بعقد وكيل AKS في حالة السكون ويتم تشفير التدفقات إلى خدمة التخزين. هذا يعني أن الأقراص المؤقتة يتم تشفيرها في وضع الراحة باستخدام مفاتيح تُدار بواسطة النظام الأساسي. يتم تشفير ذاكرة التخزين المؤقت لنظام التشغيل وأقراص البيانات في حالة عدم وجود مفاتيح مُدارة بواسطة النظام الأساسي أو مفاتيح مُدارة بواسطة العميل وفقاً لنوع التشفير المحدد على تلك الأقراص.

بشكل افتراضي، عند استخدام AKS، يستخدم نظام التشغيل وأقراص البيانات التشفير من جانب الخادم باستخدام مفاتيح مدارة بواسطة النظام الأساسي. يتم تشفير ذاكرة التخزين المؤقت لهذه الأقراص الثابتة باستخدام مفاتيح مدارة بواسطة النظام الأساسي. يمكنك تحديد المفاتيح المُدارة الخاصة بك باتباع إحضار المفاتيح الخاصة بك (BYOK) باستخدام أقراص Azure في خدمة Azure Kubernetes . يتم أيضا تشفير ذاكرة التخزين المؤقت لهذه الأقراص باستخدام المفتاح الذي تحدده.

يختلف التشفير المستند إلى المضيف عن التشفير من جانب الخادم (SSE)، والذي يستخدمه تخزين Azure. تستخدم أقراص Azure المدارة Azure Storage لتشفير البيانات تلقائيا أثناء حفظ البيانات. يستخدم التشفير المستند إلى المضيف مضيف الجهاز الظاهري لمعالجة التشفير قبل تدفق البيانات عبر تخزين Azure.

قبل البدء

قبل البدء، راجع المتطلبات الأساسية والقيود التالية.

المتطلبات الأساسية

• تأكد من تثبيت ملحق CLI الإصدار 2.23 أو أعلى.

القيود

• يمكن تعيين هذه الميزة فقط في وقت إنشاء مجموعة أو تجمع عقدة.
• يمكن تفعيل هذه الميزة فقط في مناطق Azure التي تدعم تشفير الأقراص المدارة على جانب الخادم وفقط مع أحجام أجهزة افتراضية مدعومة محددة.
• تتطلب هذه الميزة مجموعة AKS وتجمع عقدة استنادا إلى مجموعات مقياس الجهاز الظاهري كنوع مجموعة الجهاز الظاهري.

تمكين التشفير في المضيف لنظام مجموعة AKS

قبل إضافة تجمع عقدة مع تشفير يستند إلى المضيف، تأكد من تمكين ميزة EncryptionAtHost لاشتراكك:

# Register the EncryptionAtHost feature
az feature register --namespace Microsoft.Compute --name EncryptionAtHost

# Wait for registration to complete (this may take several minutes)
az feature show --namespace Microsoft.Compute --name EncryptionAtHost --query "properties.state"

# Refresh the provider registration
az provider register --namespace Microsoft.Compute

استخدام التشفير المستند إلى المضيف في مجموعات جديدة

• إنشاء مجموعة جديدة وتكوين عقد عامل نظام المجموعة لاستخدام التشفير المستند إلى المضيف باستخدام az aks create الأمر مع العلامة --enable-encryption-at-host .

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --node-vm-size Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

استخدم التشفير المستند إلى المضيف في المجموعات الموجودة

• تمكين التشفير المستند إلى المضيف على نظام مجموعة موجود عن طريق إضافة تجمع عقدة جديد باستخدام az aks nodepool add الأمر مع العلامة --enable-encryption-at-host .

  az aks nodepool add --name hostencrypt --cluster-name $MY_AKS_CLUSTER --resource-group $MY_RESOURCE_GROUP -s Standard_DS2_v2 --enable-encryption-at-host
  

  النتائج:

  {
      "agentPoolProfile": {
          "enableEncryptionAtHost": true,
          "name": "hostencrypt",
          "nodeCount": 1,
          "osDiskSizeGB": 30,
          "vmSize": "Standard_DS2_v2"
      },
      ...
  }
  

الخطوات التالية

• مراجعة أفضل الممارسات لأمان نظام مجموعة AKS.
• اقرأ المزيد حول التشفير المستند إلى المضيف.