Předpoklady pro offline instalaci AKS Edge Essentials

AKS Edge Essentials je primárně navržený tak, aby se nainstaloval na počítač připojený k internetu, protože mnoho komponent se pravidelně aktualizuje. S několika dalšími kroky je ale možné nasadit AKS Edge Essentials v offline prostředí.

Následující článek popisuje požadovanou konfiguraci potřebnou pro offline instalaci AKS Edge Essentials:

• Certifikáty Windows
• Internetové kontroly
• Licencování

Certifikáty Windows

Instalace AKS Edge Essentials nainstaluje jenom obsah, který je důvěryhodný. Ověřuje důvěryhodnost tím, že před instalací zkontroluje podpisy stahovaných obsahu a ověří, jestli je veškerý obsah důvěryhodný. Také modul PowerShellu AKSEdge.psm1 a rutiny použité k nasazení clusteru jsou podepsané a ověřené. Tím zajistíte ochranu vašeho prostředí před útoky, při kterých dojde k ohrožení umístění pro stahování.

Proto instalace AKS Edge Essentials vyžaduje, aby bylo na počítači uživatele nainstalované a aktuální několik standardních kořenových a zprostředkujících certifikátů Microsoftu. Pokud je počítač aktualizovaný pomocí služba Windows Update, podpisové certifikáty jsou obvykle aktuální. Pokud je počítač offline, musí se certifikáty aktualizovat jiným způsobem.

Jedním ze způsobů, jak zkontrolovat instalační systém, je provést následující kroky:

1. Otevřete relaci PowerShellu se zvýšenými oprávněními.

2. Spuštěním následujícího příkazu vyhledejte kořenovou certifikační autoritu Microsoftu 2011 :

   Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
   

   Pokud je na tomto počítači nainstalovaná kořenová certifikační autorita Microsoft 2011 , měl by se zobrazit následující výstup:

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root
   
   Thumbprint                                Subject
   ----------                                -------
   8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
   

3. Spuštěním následujícího příkazu zkontrolujte microsoft code signing PCA 2011 :

   Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
   

   Pokud je na tomto počítači nainstalovaný Microsoft Code Signing PCA 2011 , měl by se zobrazit následující výstup:

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA
   
   Thumbprint                                Subject
   ----------                                -------
   F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
   

Pokud byl zprostředkující certifikát PCA 2011 pro podepisování kódu Microsoftu pouze v úložišti zprostředkujících certifikátů aktuálního uživatele , je k dispozici jenom pro přihlášeného uživatele. Možná ho budete muset nainstalovat pro jiné uživatele.

Instalace nebo aktualizace certifikátů v offline režimu

Existují dvě možnosti instalace nebo aktualizace certifikátů v offline prostředí.

Možnost 1: Ruční instalace certifikátů nebo jako součást skriptovaného nasazení

Pokud skriptujete nasazení AKS Edge Essentials v offline prostředí na klientské pracovní stanice, postupujte takto:

1. Otevřete relaci PowerShellu se zvýšenými oprávněními.

2. Stáhněte si potřebné certifikáty:

   1. MicrosoftRootCertificateAuthority2011.cer
   2. MicCodSigPCA2011.crt

3. Ručně spusťte následující příkazy nebo je přidejte do instalačního skriptu AKS Edge Essentials:

   certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"
   
   certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
   

4. Pokud chcete zkontrolovat, jestli byly certifikáty správně nainstalované, použijte příkazy PowerShellu uvedené v části Certifikáty systému Windows .

Možnost 2: Distribuce důvěryhodných kořenových certifikátů v podnikovém prostředí

Pro podniky s offline počítači, které nemají nejnovější kořenové certifikáty, může správce použít pokyny v tématu Konfigurace důvěryhodných kořenových certifikátů a nepovolené certifikáty k jejich aktualizaci.

Internetové kontroly

Během nasazování clusteru AKS Edge Essentials skript nasazení PowerShellu zkontroluje připojení k internetu. Tyto kontroly se mají ujistit, že servery DNS fungují, cluster se může připojit k internetu a že je možné navázat připojení Arc, pokud to uživatel chce. Při offline instalaci se ale tyto kontroly nevyžadují a měli byste se jim vyhnout.

Při vytváření souboru JSON nasazení se ujistěte, že jste parametr uvnitř oddílu InternetDisabled označili Networking jako true.

Konfigurace síťových adaptérů

Během nasazování potřebuje AKS Edge Essentials adaptér, který je povolený a má správnou IP adresu, podsíť a výchozí vlastnosti brány. Tyto hodnoty se automaticky vyplní v prostředí DHCP. Pokud nastavujete ručně, před zahájením nasazení se ujistěte, že jsou nastavené všechny tři vlastnosti.

Licencování

Pomocí multilicenčního modelu můžete licencovat offline nasazení AKS Edge Essentials pro komerční použití. AKS Edge Essentials se licencuje a cena se používá jako model na zařízení a měsíc. Každá licencovaná jednotka se použije na zařízení ve vašem clusteru. Další informace o licencování najdete v tématu AKS Edge Essentials – licencování.

Další kroky

• Přehled AKS Edge Essentials
• Nastavení AKS Edge Essentials