Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Při šifrování založeném na hostiteli jsou data uložená na hostiteli virtuálních počítačů uzlů agenta AKS v klidovém stavu šifrována a v zašifrované podobě proudí do služby Storage. To znamená, že dočasné disky jsou v klidu zašifrované pomocí klíčů spravovaných platformou. Mezipaměť disků s operačním systémem a datových disků se šifruje pomocí klíčů spravovaných platformou nebo klíčů spravovaných zákazníkem v závislosti na typu šifrování nastaveném na těchto discích.
Ve výchozím nastavení používají při použití AKS operační systém a datové disky šifrování na straně serveru s klíči spravovanými platformou. Mezipaměti pro tyto disky se šifrují v klidovém stavu pomocí klíčů spravovaných platformou. Vlastní spravované klíče můžete zadat pomocí funkce Přineste si vlastní klíče (BYOK) s disky Azure ve službě Azure Kubernetes Service. Mezipaměti pro tyto disky se také šifrují pomocí zadaného klíče.
Šifrování na straně hostitele se liší od šifrování na straně serveru (SSE), které používá Azure Storage. Disky spravované v Azure používají Azure Storage k automatickému šifrování neaktivních uložených dat při ukládání dat. Šifrování na základě hostitele používá hostitele virtuálního počítače ke zpracování šifrování než data proudí přes *Azure Storage*.
Než začnete
Než začnete, projděte si následující požadavky a omezení.
Požadavky
- Ujistěte se, že máte nainstalované rozšíření rozhraní příkazového řádku verze 2.23 nebo vyšší.
Omezení
- Tuto funkci je možné nastavit pouze při vytváření clusteru nebo fondu uzlů.
- Tuto funkci je možné povolit jenom v oblastech Azure , které podporují šifrování spravovaných disků Azure na straně serveru a pouze s konkrétními podporovanými velikostmi virtuálních počítačů.
- Tato funkce vyžaduje cluster AKS a fond uzlů založený na škálovacích sadách virtuálních strojů jako typu sady VM.
Povolení šifrování u hostitele pro cluster AKS
Před přidáním fondu uzlů s šifrováním na základě hostitele se ujistěte, že je pro vaše předplatné povolená funkce EncryptionAtHost:
# Register the EncryptionAtHost feature
az feature register --namespace Microsoft.Compute --name EncryptionAtHost
# Wait for registration to complete (this may take several minutes)
az feature show --namespace Microsoft.Compute --name EncryptionAtHost --query "properties.state"
# Refresh the provider registration
az provider register --namespace Microsoft.Compute
Použití šifrování založeného na hostiteli na nových clusterech
Vytvořte nový cluster a nakonfigurujte uzly agenta clusteru tak, aby používaly šifrování na základě hostitele pomocí
az aks createpříkazu s příznakem--enable-encryption-at-host.az aks create \ --name myAKSCluster \ --resource-group myResourceGroup \ --node-vm-size Standard_DS2_v2 \ --location westus2 \ --enable-encryption-at-host \ --generate-ssh-keys
Použití šifrování založeného na hostiteli na existujících clusterech
Povolte šifrování na základě hostitele v existujícím clusteru přidáním nového fondu uzlů pomocí
az aks nodepool addpříkazu s příznakem--enable-encryption-at-host.az aks nodepool add --name hostencrypt --cluster-name $MY_AKS_CLUSTER --resource-group $MY_RESOURCE_GROUP -s Standard_DS2_v2 --enable-encryption-at-hostVýsledky:
{ "agentPoolProfile": { "enableEncryptionAtHost": true, "name": "hostencrypt", "nodeCount": 1, "osDiskSizeGB": 30, "vmSize": "Standard_DS2_v2" }, ... }
Další kroky
- Projděte si osvědčené postupy zabezpečení clusteru AKS.
- Přečtěte si další informace o šifrování založeném na hostiteli.
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Azure Kubernetes Service