Prérequis pour l’installation hors connexion d’AKS Edge Essentials
AKS Edge Essentials est principalement conçu pour être installé sur un ordinateur connecté à Internet, car de nombreux composants sont mis à jour régulièrement. Toutefois, avec quelques étapes supplémentaires, il est possible de déployer AKS Edge Essentials dans un environnement hors connexion.
L’article suivant décrit la configuration requise pour une installation hors connexion d’AKS Edge Essentials :
- Certificats Windows
- Vérifications Internet
- Licence
Certificats Windows
La configuration d’AKS Edge Essentials installe uniquement le contenu approuvé. Il vérifie cette approbation en vérifiant les signatures Authenticode du contenu en cours de téléchargement et en vérifiant que tout le contenu est approuvé avant de l’installer. En outre, le module PowerShell AKSEdge.psm1 et les applets de commande utilisées pour déployer le cluster sont signés et vérifiés. Cela permet de protéger votre environnement contre des attaques au cas où l’emplacement de téléchargement est compromis.
Par conséquent, la configuration d’AKS Edge Essentials nécessite que plusieurs certificats racine et intermédiaires Microsoft standard soient installés et à jour sur l’ordinateur d’un utilisateur. Lorsque l’ordinateur a été maintenu à jour avec Windows Update, les certificats de signature sont généralement à jour. Si l’ordinateur n’est pas connecté à Internet, les certificats doivent être actualisés d’une autre façon.
Une manière de vérifier l’installation du système consiste à suivre ces étapes :
Ouvrez une session PowerShell avec élévation de privilèges.
Recherchez l’autorité de certification racine Microsoft 2011 en exécutant la commande suivante :
Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}Si l’autorité de certification racine Microsoft 2011 est installée sur cet ordinateur, vous devez voir la sortie suivante :
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root Thumbprint Subject ---------- ------- 8F43288AD272F3103B6FB1428485EA3014C0BCFE CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...Recherchez microsoft Code Signing PCA 2011 en exécutant la commande suivante :
Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}Si microsoft Code Signing PCA 2011 est installé sur cet ordinateur, vous devez voir la sortie suivante :
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA Thumbprint Subject ---------- ------- F252E794FE438E35ACE6E53762C0A234A2C52135 CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
Si le certificat intermédiaire Microsoft Code Signing PCA 2011 se trouvait uniquement dans le magasin de certificats intermédiaires de l’utilisateur actuel , il est disponible uniquement pour l’utilisateur connecté. Vous devrez peut-être l’installer pour les autres utilisateurs.
Installer ou actualiser des certificats en mode hors connexion
Il existe deux options pour installer ou mettre à jour des certificats dans un environnement hors connexion.
Option 1 : installer des certificats manuellement ou dans le cadre d’un déploiement avec script
Si vous scriptez le déploiement d’AKS Edge Essentials dans un environnement hors connexion sur des stations de travail clientes, procédez comme suit :
Ouvrez une session PowerShell avec élévation de privilèges.
Téléchargez les certificats nécessaires :
Exécutez manuellement les commandes suivantes ou ajoutez-les à votre script d’installation AKS Edge Essentials :
certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer" certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"Pour case activée si les certificats ont été correctement installés, utilisez les commandes PowerShell fournies dans la section Certificats Windows.
Option 2 : distribuer des certificats racines approuvés dans un environnement d’entreprise
Pour les entreprises disposant de machines hors connexion qui ne disposent pas des certificats racine les plus récents, un administrateur peut utiliser les instructions fournies dans Configurer des racines approuvées et des certificats non autorisés pour les mettre à jour.
Vérifications Internet
Pendant le déploiement d’un cluster AKS Edge Essentials, le script de déploiement PowerShell vérifie la connectivité Internet. Ces vérifications permettent de s’assurer que les serveurs DNS fonctionnent, que le cluster est en mesure de se connecter à Internet et qu’une connexion Arc peut être établie si l’utilisateur le souhaite. Toutefois, lorsque vous effectuez des installations hors connexion, ces vérifications ne sont pas obligatoires et doivent être évitées.
Lors de la création du fichier JSON de déploiement, veillez à marquer le InternetDisabled paramètre à l’intérieur de la Networking section comme vrai.
Configurer vos adaptateurs réseau
Pendant le déploiement, AKS Edge Essentials a besoin d’une carte qui est activée et qui a l’adresse IP, le sous-réseau et les propriétés de passerelle par défaut appropriés. Ces valeurs sont automatiquement renseignées dans un environnement DHCP. Si vous définissez manuellement, assurez-vous que les trois propriétés sont définies avant de commencer le déploiement.
Licence
Vous pouvez licencer des déploiements hors connexion AKS Edge Essentials pour une utilisation commerciale à l’aide du modèle de licence en volume. AKS Edge Essentials est concédé sous licence et tarifé en tant que modèle par appareil et par mois. Chaque unité sous licence est appliquée à un appareil de votre cluster. Pour plus d’informations sur les licences, consultez AKS Edge Essentials - Licences.