Migrace na službu Správy klíčů (KMS) v2 ve službě Azure Kubernetes Service (AKS) (starší verze)

Důležité

Tento článek se týká clusterů využívajících starší prostředí Služby správy klíčů, které potřebují migrovat ze služby Správy klíčů v1 na Službu správy klíčů v2. Pro clustery s Kubernetes verze 1.33 nebo novější doporučujeme použít nové prostředí pro šifrování dat Služby správy klíčů , které nabízí klíče spravované platformou, klíče spravované zákazníkem s automatickým obměněm klíčů a zjednodušené prostředí konfigurace.

V tomto článku se dozvíte, jak migrovat na Službu správy klíčů v2 pro clustery se staršími verzemi než 1.27. Od AKS verze 1.27 se zapnutím funkce KMS nakonfiguruje KMS verze 2. U Služby správy klíčů v2 nejste omezeni na 2 000 tajných kódů, které podporují starší verze. Další informace najdete v tématu Vylepšení Služby správy klíčů v2.

Důležité

Pokud je vaše verze clusteru starší než 1.27 a už jste zapnuli Službu správy klíčů, upgrade na cluster verze 1.27 nebo novější se zablokuje.

Vypněte KMS

1. Zakázání KMS na existujícím clusteru pomocí příkazu az aks update s parametrem --disable-azure-keyvault-kms.

   az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --disable-azure-keyvault-kms
   

2. Aktualizujte všechny tajné kódy kubectl get secrets pomocí příkazu, abyste zajistili, že dříve vytvořené tajné kódy už nejsou šifrované. U větších clusterů můžete chtít rozdělit tajné kódy podle oboru názvů nebo vytvořit aktualizační skript. Pokud předchozí příkaz pro aktualizaci Služby správy klíčů selže, spusťte následující příkaz, aby se zabránilo neočekávanému stavu modulu plug-in Služby správy klíčů.

   kubectl get secrets --all-namespaces -o json | kubectl replace -f -
   

   Při spuštění příkazu je následující chyba bezpečná pro ignorování:

   The object has been modified; please apply your changes to the latest version and try again.
   

Upgrade clusteru AKS a zapnutí Služby správy klíčů

1. Pomocí příkazu s parametrem az aks upgrade nastaveným na požadovanou verzi upgradujte cluster AKS na verzi 1.27 nebo novější--kubernetes-version. Následující příklad upgraduje na verzi 1.27.1:

   az aks upgrade --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --kubernetes-version 1.27.1
   

2. Po dokončení upgradu můžete zapnout Službu správy klíčů pro veřejný nebo privátní trezor klíčů pomocí některého z následujících prostředků:

   • Povolení veřejného trezoru klíčů a Služby správy klíčů v existujícím clusteru AKS
   • Aktualizace existujícího clusteru AKS pro zapnutí šifrování KMS etcd pro soukromý trezor klíčů

3. Aktualizujte všechny tajné kódy kubectl get secrets pomocí příkazu, abyste zajistili, že dříve vytvořené tajné kódy už nejsou šifrované. U větších clusterů můžete chtít rozdělit tajné kódy podle oboru názvů nebo vytvořit aktualizační skript. Pokud předchozí příkaz pro aktualizaci Služby správy klíčů selže, spusťte následující příkaz, aby se zabránilo neočekávanému stavu modulu plug-in Služby správy klíčů.

   kubectl get secrets --all-namespaces -o json | kubectl replace -f -
   

   Při spuštění příkazu je následující chyba bezpečná pro ignorování:

   The object has been modified; please apply your changes to the latest version and try again.
   

Další kroky

Další informace o používání Služby správy klíčů s AKS najdete v následujících článcích:

• Aktualizujte režim trezoru klíčů pro cluster Azure Kubernetes Service (AKS) s KMS šifrováním etcd.
• Sledování šifrování etcd KMS ve službě Azure Kubernetes Service (AKS)