Sledovatelnost pro clustery Azure Kubernetes Service (AKS) se službou Správy klíčů (KMS) a šifrováním etcd (legacy)

V tomto článku se dozvíte, jak zobrazit metriky pozorovatelnosti a zlepšit pozorovatelnost clusterů AKS pomocí šifrování KMS a etcd.

Požadavky

• Cluster AKS s povoleným šifrováním KMS a etcd. Další informace najdete v tématu Přidání šifrování služby správy klíčů (KMS) atd. do clusteru Azure Kubernetes Service (AKS).
• Pokud chcete zkontrolovat protokoly šifrování, musíte pro trezor klíčů povolit nastavení diagnostiky.

Kontrola konfigurace KMS

Azure CLI

• Pomocí příkazu az aks show získejte konfiguraci KMS.

  az aks show --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --query "securityProfile.azureKeyVaultKms"
  

  Výstup vypadá podobně jako v následujícím příkladu výstupu:

  ...
  "securityProfile": {
    "azureKeyVaultKms": {
      "enabled": true,
      "keyId": "https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-id>",
      "keyVaultNetworkAccess": "Public",
      "keyVaultResourceId": <key-vault-resource-id>
  ...
  

Azure Portal

1. V portálu Azure přejděte k prostředku clusteru AKS.

2. V nabídce služby vyberte Diagnostikovat a řešit problémy.

3. Na panelu hledání vyhledejte Službu správy klíčů a vyberte Problémy s integrací Služby správy klíčů Azure KeyVault.

   V části konfigurace clusteru pro integrované použití KMS služby Azure KeyVault můžete zjistit, zda je KMS povolená a ID klíče, jak je uvedeno na následujícím snímku obrazovky:

   

   Další informace o trezoru klíčů můžete získat, pokud se přesunete k prostředku trezoru klíčů.

Diagnóza a řešení problémů

Vzhledem k tomu, že KMS plugin je kontejner Sidecar podu kube-apiserver, nemůžete k němu přistupovat přímo. Pokud chcete zlepšit pozorovatelnost Služby správy klíčů, můžete stav Služby správy klíčů zkontrolovat pomocí webu Azure Portal.

1. Na webu Azure Portal přejděte do clusteru AKS.
2. V nabídce služby vyberte Diagnostikovat a řešit problémy.
3. Na panelu hledání vyhledejte Službu správy klíčů a vyberte Problémy s integrací Služby správy klíčů Azure KeyVault.

Příklad problému

Řekněme, že vidíte následující problém: KeyExpired: Operation encrypt isn't allowed on an expired key.

Vzhledem k tomu, že plugin AKS KMS aktuálně umožňuje používat vlastní trezor klíčů (BYO) a klíč, je vaší odpovědností spravovat životní cyklus klíčů. Pokud platnost klíče vypršela, plugin KMS nedokáže dešifrovat stávající tajné kódy. Pokud chcete tento problém vyřešit, musíte prodloužit datum vypršení platnosti klíče , aby Služba správy klíčů fungovala a obměna verze klíče.

Další kroky

Další informace o používání Služby správy klíčů s AKS najdete v následujících článcích:

• Koncepty šifrování neaktivních uložených dat pro AKS
• Povolení šifrování dat Služby správy klíčů v AKS
• Aktualizujte režim trezoru klíčů pro cluster Azure Kubernetes Service (AKS) s KMS šifrováním etcd.
• Migrace na KmS v2 pro šifrování etcd ve službě Azure Kubernetes Service (AKS)