Beobachtbarkeit für Azure Kubernetes Service (AKS)-Cluster mit Key Management Service (KMS) etcd-Verschlüsselung (veraltet)

In diesem Artikel erfahren Sie, wie Sie Observability-Metriken anzeigen und die Observierbarkeit für AKS-Cluster mit KMS-Verschlüsselung usw. verbessern.

Voraussetzungen

• Ein AKS-Cluster mit aktivierter KMS-etcd-Verschlüsselung. Weitere Informationen finden Sie unter Hinzufügen des Key Management Service (KMS) zur etcd-Verschlüsselung eines Azure Kubernetes Service (AKS)-Clusters.
• Sie müssen Diagnoseeinstellungen für den Schlüsseltresor aktivieren, um die Verschlüsselungsprotokolle zu überprüfen.

Überprüfen der KMS-Konfiguration

Azure CLI

• Rufen Sie die KMS-Konfiguration mit dem az aks show Befehl ab.

  az aks show --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --query "securityProfile.azureKeyVaultKms"
  

  Die Ausgabe ähnelt der folgenden Beispielausgabe:

  ...
  "securityProfile": {
    "azureKeyVaultKms": {
      "enabled": true,
      "keyId": "https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-id>",
      "keyVaultNetworkAccess": "Public",
      "keyVaultResourceId": <key-vault-resource-id>
  ...
  

Azure-Portal

1. Navigieren Sie im Azure-Portal zur AKS-Clusterressource.

2. Wählen Sie im Menü "Dienst" die Option "Diagnostizieren und Lösen von Problemen" aus.

3. Suchen Sie in der Suchleiste nach KMS , und wählen Sie Azure KeyVault KMS-Integrationsprobleme aus.

   In dem Abschnitt Cluster ist für die Verwendung der Azure KeyVault KMS-Integration konfiguriert können Sie sehen, ob KMS aktiviert ist und die Schlüssel-ID, wie im folgenden Screenshot gezeigt:

   

   Weitere Informationen zu Ihrem Schlüsseltresor finden Sie in der Schlüsseltresor-Ressource.

Diagnose und Problembehandlung

Da das KMS-Plug-In als Sidecar von kube-apiserver Pod fungiert, können Sie nicht direkt darauf zugreifen. Um die Observierbarkeit von KMS zu verbessern, können Sie den KMS-Status über das Azure-Portal überprüfen.

1. Navigieren Sie im Azure-Portal zu Ihrem AKS-Cluster.
2. Wählen Sie im Menü "Dienst" die Option "Diagnostizieren und Lösen von Problemen" aus.
3. Suchen Sie in der Suchleiste nach KMS , und wählen Sie Azure KeyVault KMS-Integrationsprobleme aus.

Beispielproblem

Angenommen, Sie sehen das folgende Problem: KeyExpired: Operation encrypt isn't allowed on an expired key.

Da das AKS-KMS-Plug-In derzeit nur BYO-Schlüsseltresor und Schlüssel zulässt, liegt es in Ihrer Verantwortung, den Schlüssellebenszyklus zu verwalten. Wenn der Schlüssel abgelaufen ist, entschlüsselt das KMS-Plug-In die vorhandenen geheimen Schlüssel nicht. Um dieses Problem zu beheben, müssen Sie das Schlüsselablaufdatum verlängern, damit KMS funktioniert, und die Schlüsselversion aktualisieren.

Nächste Schritte

Weitere Informationen zur Verwendung von KMS mit AKS finden Sie in den folgenden Artikeln:

• Konzepte zur Verschlüsselung ruhender Daten für AKS
• Aktivieren der KMS-Datenverschlüsselung in AKS
• Aktualisieren Sie den Key Vault-Modus für einen Azure Kubernetes Service (AKS)-Cluster mit KMS-etcd-Verschlüsselung
• Migrieren zu KMS v2 für etcd-Verschlüsselung in Azure Kubernetes Service (AKS)