Eventos
Compilación de Intelligent Apps
17 mar, 21 - 21 mar, 10
Únase a la serie de reuniones para crear soluciones de inteligencia artificial escalables basadas en casos de uso reales con compañeros desarrolladores y expertos.
Regístrese ahoraCifrado basado en host en Azure Kubernetes Service (AKS)
Con el cifrado basado en host, los datos almacenados en el host de máquina virtual de las máquinas virtuales de los nodos de agente de AKS se cifran en reposo y se transmiten cifrados al servido Storage. Esto significa que los discos temporales se cifran en reposo con claves administradas por la plataforma. La memoria caché de los discos de datos y del sistema operativo se cifra en reposo con claves administradas por la plataforma o por el cliente, según el tipo de cifrado establecido en esos discos.
De manera predeterminada, cuando se usa AKS, el sistema operativo y los discos de datos usan el cifrado del lado del servidor con claves administradas por la plataforma. Las memorias caché de estos discos se cifran en reposo con claves administradas por la plataforma. Puede especificar sus propias claves administradas siguiendo Traiga sus propias claves (BYOK) con discos de Azure en Azure Kubernetes Service (AKS). Las memorias caché de estos discos también se cifran con la clave que especifique.
El cifrado basado en host es diferente del cifrado del servidor (SSE), que usa Azure Storage. Los discos administrados de Azure usan Azure Storage para cifrar automáticamente los datos en reposo al guardar los datos. El cifrado basado en host usa el host de la máquina virtual para controlar el cifrado antes de que los datos fluyan a través de Azure Storage.
Antes de comenzar, revise los siguientes requisitos previos y limitaciones.
- Asegúrese de que tiene instalada la extensión de la CLI v2.23 o superior.
- Esta característica solo se podrá establecer en el clúster o en el momento de la creación del grupo de nodos.
- Esta característica solo se puede habilitar en regiones de Azure que admiten el cifrado del lado servidor de discos administrados de Azure y solo con tamaños de máquinas virtuales compatibles específicos.
- Esta característica requiere un clúster de AKS y un grupo de nodos basado en Virtual Machine Scale Sets como tipo de conjunto de máquinas virtuales.
Cree un clúster y configure los nodos del agente de clúster para usar el cifrado basado en host mediante el comando
az aks createcon la marca--enable-encryption-at-host.Azure CLIaz aks create \ --name myAKSCluster \ --resource-group myResourceGroup \ --node-vm-size Standard_DS2_v2 \ --location westus2 \ --enable-encryption-at-host \ --generate-ssh-keys
Habilite el cifrado basado en host en un clúster existente agregando un nuevo grupo de nodos mediante el comando
az aks nodepool addcon la marca--enable-encryption-at-host.Azure CLIaz aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
- Revise los procedimientos recomendados para la seguridad de los clústeres de AKS.
- Más información sobre el cifrado basado en host.
Colaborar con nosotros en GitHub
El origen de este contenido se puede encontrar en GitHub, donde también puede crear y revisar problemas y solicitudes de incorporación de cambios. Para más información, consulte nuestra guía para colaboradores.
Comentarios de Azure Kubernetes Service
Azure Kubernetes Service es un proyecto de código abierto. Seleccione un vínculo para proporcionar comentarios:
Recursos adicionales
Cursos
Módulo
Protección de los discos de las máquinas virtuales de Azure - Training
Explore las opciones de Azure Disk Encryption para cifrar discos del sistema operativo y de datos en máquinas virtuales nuevas y existentes.
Certificación
Microsoft Certified: Azure Security Engineer Associate - Certifications
Demuestra las aptitudes necesarias para implementar controles de seguridad, mantener una posición de seguridad de la organización e identificar y corregir los puntos vulnerables de seguridad.