Requisitos previos para la instalación sin conexión de AKS Edge Essentials

AKS Edge Essentials está diseñado principalmente para instalarse en una máquina conectada a Internet, ya que muchos componentes se actualizan periódicamente. Sin embargo, con algunos pasos adicionales, es posible implementar AKS Edge Essentials en un entorno sin conexión.

En el siguiente artículo se describe la configuración necesaria necesaria para una instalación sin conexión de AKS Edge Essentials:

• Certificados de Windows
• Comprobaciones de Internet
• Licencias

Certificados de Windows

El programa de instalación de AKS Edge Essentials solo instala contenido de confianza. Comprueba esa confianza comprobando las firmas Authenticode del contenido que se descargan y comprueban que todo el contenido es de confianza antes de instalarlo. Además, el módulo de PowerShell AKSEdge.psm1 y los cmdlets que se usan para implementar el clúster están firmados y comprobados. Esto conserva su entorno seguro de los ataques donde la ubicación de descarga está en peligro.

Por lo tanto, la configuración de AKS Edge Essentials requiere que se instalen y actualicen varios certificados raíz e intermedios estándar de Microsoft en el equipo de un usuario. Si la máquina está actualizada con Windows Update, los certificados de firma suelen estar actualizados. Si la máquina está sin conexión, los certificados deberán actualizarse de otra forma.

Una manera de comprobar el sistema de instalación es seguir estos pasos:

1. Abra una sesión de PowerShell con privilegios elevados.

2. Ejecute el siguiente comando para comprobar la entidad de certificación raíz de Microsoft 2011 :

   Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
   

   Si la entidad de certificación raíz de Microsoft 2011 está instalada en esta máquina, debería ver la siguiente salida:

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root
   
   Thumbprint                                Subject
   ----------                                -------
   8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
   

3. Ejecute el siguiente comando para comprobar la firma de código de Microsoft PCA 2011 :

   Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
   

   Si el PCA 2011 de firma de código de Microsoft está instalado en esta máquina, debería ver la siguiente salida:

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA
   
   Thumbprint                                Subject
   ----------                                -------
   F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
   

Si el certificado intermedio de firma de código de Microsoft PCA 2011 solo estaba en el almacén de certificados intermedios de usuario actual , solo está disponible para el usuario que ha iniciado sesión. Es posible que deba instalarlo para otros usuarios.

Instalación o actualización de certificados cuando está sin conexión

Hay dos opciones para instalar o actualizar certificados en un entorno sin conexión.

Opción 1: instalar certificados manualmente o como parte de una implementación con scripts

Si está scriptando la implementación de AKS Edge Essentials en un entorno sin conexión en estaciones de trabajo cliente, siga estos pasos:

1. Abra una sesión de PowerShell con privilegios elevados.

2. Descargue los certificados necesarios:

   1. MicrosoftRootCertificateAuthority2011.cer
   2. MicCodSigPCA2011.crt

3. Ejecute manualmente los siguientes comandos o agréguelos al script de instalación de AKS Edge Essentials:

   certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"
   
   certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
   

4. Para comprobar si los certificados se instalaron correctamente, use los comandos de PowerShell proporcionados en la sección Certificados de Windows .

Opción 2: distribuir certificados raíz de confianza en un entorno empresarial

En el caso de las empresas con máquinas sin conexión que no tienen los certificados raíz más recientes, un administrador puede usar las instrucciones de Configuración de raíces de confianza y certificados no permitidos para actualizarlos.

Comprobaciones de Internet

Durante la implementación de un clúster de AKS Edge Essentials, el script de implementación de PowerShell comprueba si hay conectividad a Internet. Estas comprobaciones son para asegurarse de que los servidores DNS funcionan, el clúster puede conectarse a Internet y que se puede establecer una conexión de Arc si el usuario quiere esto. Sin embargo, al realizar instalaciones sin conexión, estas comprobaciones no son necesarias y deben evitarse.

Durante la creación del archivo JSON de implementación, asegúrese de marcar el InternetDisabled parámetro dentro de la Networking sección como true.

Configuración de los adaptadores de red

Durante la implementación, AKS Edge Essentials necesita un adaptador que esté habilitado y tenga las propiedades de puerta de enlace predeterminadas, subred y dirección IP correctas. Estos valores se rellenan automáticamente en un entorno DHCP. Si establece manualmente, asegúrese de que las tres propiedades se establecen antes de comenzar la implementación.

Licencias

Puede conceder licencias a las implementaciones sin conexión de AKS Edge Essentials para su uso comercial mediante el modelo de licencias por volumen. AKS Edge Essentials tiene licencia y tiene un precio por dispositivo, por mes. Cada unidad con licencia se aplica a un dispositivo del clúster. Para obtener más información sobre licencias, consulte AKS Edge Essentials - Licensing.

Pasos siguientes

• Introducción a AKS Edge Essentials
• Configuración de AKS Edge Essentials