Événements
Créer des applications intelligentes
17 mars, 21 h - 21 mars, 10 h
Rejoignez la série de rencontres pour créer des solutions IA évolutives basées sur des cas d’usage réels avec d’autres développeurs et experts.
S’inscrire maintenantChiffrement basé sur l’hôte sur Azure Kubernetes Service (AKS)
Avec le chiffrement basé sur l’hôte, les données stockées sur l’hôte de machine virtuelle des machines virtuelles de vos nœuds d’agent AKS sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. Cela signifie que les disques temporaires sont chiffrés au repos avec des clés gérées par la plateforme. Le cache du système d’exploitation et des disques de données est chiffré au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement défini sur ces disques.
Par défaut, lors de l’utilisation d’AKS, du système d’exploitation et des disques de données, utilisez le chiffrement côté serveur avec des clés gérées par la plateforme. Les caches de ces disques sont également chiffrés au repos avec des clés gérées par la plateforme. Vous pouvez spécifier vos propres clés gérées à l’aide de Bring your own keys (BYOK) avec des disques Azure dans Azure Kubernetes service. Les caches de ces disques sont également chiffrés à l’aide de la clé que vous spécifiez.
Le chiffrement basé sur l’hôte est différent du chiffrement côté serveur (SSE) qui est utilisé par le Stockage Azure. Les disques managés par Azure utilisent le Stockage Azure pour chiffrer automatiquement les données au repos lors de l’enregistrement des données. Le chiffrement basé sur l’hôte utilise l’hôte de la machine virtuelle pour gérer le chiffrement avant que les données n’arrivent dans le Stockage Azure.
Avant de commencer, passez en revue les conditions préalables et limitations suivantes.
- Vérifiez que l’extension CLI version 2.23 ou ultérieure est installée.
- Cette fonctionnalité ne peut être définie qu’au moment de la création du cluster ou du pool de nœuds.
- Cette fonctionnalité ne peut être activé que dans les régions Azure qui prennent en charge le chiffrement côté serveur des disques managés Azure et uniquement avec des tailles de machine virtuelle spécifiques prises en charge.
- Cette fonctionnalité requiert un cluster AKS et un pool de nœuds basés sur Virtual Machine Scale Sets comme type d’ensemble de machines virtuelles.
Créez un cluster et configurez les nœuds de l’agent de cluster pour utiliser le chiffrement basé sur l’hôte à l’aide de la commande
az aks createavec l’indicateur--enable-encryption-at-host.az aks create \ --name myAKSCluster \ --resource-group myResourceGroup \ --node-vm-size Standard_DS2_v2 \ --location westus2 \ --enable-encryption-at-host \ --generate-ssh-keys
Activez le chiffrement basé sur l’hôte sur un cluster existant en ajoutant un nouveau pool de nœuds à l’aide de la commande
az aks nodepool addavec l’indicateur--enable-encryption-at-host.az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
- Consulter les bonnes pratiques relatives à la sécurité des clusters AKS.
- En savoir plus sur le chiffrement basé sur l’hôte.
Collaborer avec nous sur GitHub
La source de ce contenu se trouve sur GitHub, où vous pouvez également créer et examiner les problèmes et les demandes de tirage. Pour plus d’informations, consultez notre guide du contributeur.
Commentaires sur Azure Kubernetes Service
Azure Kubernetes Service est un projet open source. Sélectionnez un lien pour fournir des commentaires :