Hostbasierte Verschlüsselung in Azure Kubernetes Service (AKS)

Mit hostbasierter Verschlüsselung werden die auf dem VM-Host der VMs Ihres AKS-Agent-Knotens gespeicherten Daten ruhend verschlüsselt und verschlüsselt an den Speicherdienst übermittelt. Dies bedeutet, dass temporäre Datenträger im Ruhezustand mit von der Plattform verwalteten Schlüsseln verschlüsselt werden. Der Cache von Betriebssystem- und sonstigen Datenträgern wird im Ruhezustand entweder mit von der Plattform verwalteten Schlüsseln oder vom Kunden verwalteten Schlüsseln verschlüsselt, je nachdem, welcher Verschlüsselungstyp auf diesen Datenträgern festgelegt wurde.

Standardmäßig nutzen Datenträger für Betriebssystem und Daten bei der Verwendung von AKS serverseitige Verschlüsselung mit plattformseitig verwalteten Schlüsseln. Die Caches für diese Datenträger werden im Ruhezustand mit plattformseitig verwalteten Schlüsseln verschlüsselt. Sie können Ihre eigenen verwalteten Schlüssel wie in Bring Your Own Key (BYOK) mit Azure-Datenträgern in Azure Kubernetes Service (AKS) beschrieben angeben. Die Caches für diese Datenträger werden ebenfalls mit dem von Ihnen angegebenen Schlüssel verschlüsselt.

Die hostbasierte Verschlüsselung unterscheidet sich von der serverseitigen Verschlüsselung (Server-Side Encryption, SSE), die von Azure Storage verwendet wird. Von Azure verwaltete Datenträger verwenden Azure Storage, um ruhende Daten beim Speichern von Daten automatisch zu verschlüsseln. Die hostbasierte Verschlüsselung verwendet den Host der VM, um die Verschlüsselung zu verarbeiten, bevor die Daten durch Azure Storage fließen.

Voraussetzungen

Bevor Sie beginnen, sollten Sie die folgenden Voraussetzungen und Einschränkungen überprüfen.

Voraussetzungen

• Stellen Sie sicher, dass die CLI-Erweiterung, v2.23 oder höher, installiert ist.

Einschränkungen

• Dieses Feature kann nur bei der Erstellung von Clustern oder Knotenpools festgelegt werden.
• Dieses Feature kann nur in Azure-Regionen aktiviert werden, die die serverseitige Verschlüsselung von verwalteten Azure-Datenträgern unterstützen, und nur mit bestimmten unterstützten VM-Größen.
• Dieses Feature erfordert einen AKS-Cluster und einen Knotenpool, der auf VM-Skalierungsgruppen als VM set type basiert.

Verwenden der hostbasierten Verschlüsselung in neuen Clustern

• Erstellen Sie einen neuen Cluster, und konfigurieren Sie die Cluster-Agent-Knoten mit dem Befehl az aks create und dem --enable-encryption-at-host-Flag für die Verwendung der hostbasierten Verschlüsselung.

  az aks create --name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 -l westus2 --enable-encryption-at-host
  

Verwenden der hostbasierten Verschlüsselung auf vorhandenen Clustern

• Aktivieren Sie die hostbasierte Verschlüsselung für einen vorhandenen Cluster, indem Sie mit dem Befehl az aks nodepool add und dem --enable-encryption-at-host-Flag einen neuen Knotenpool hinzufügen.

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

Nächste Schritte

• Lesen Sie Bewährte Methoden für die AKS-Clustersicherheit.
• Lesen Sie mehr übe die hostbasierte Verschlüsselung.