Gazdagépalapú titkosítás az Azure Kubernetes Service-ben (AKS)

Gazdagépalapú titkosítással az AKS ügynökcsomópontok virtuálisgép-gazdagépén tárolt adatok nyugalmi állapotban vannak titkosítva, és titkosítva áramlanak a tárolási szolgáltatásba. Ez azt jelenti, hogy az ideiglenes lemezek inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva. Az operációs rendszer és az adatlemezek gyorsítótára inaktív állapotban, platform által felügyelt vagy ügyfél által felügyelt kulcsokkal van titkosítva az adott lemezeken beállított titkosítási típustól függően.

Alapértelmezés szerint az AKS használatakor az operációs rendszer és az adatlemezek kiszolgálóoldali titkosítást használnak platform által felügyelt kulcsokkal. Ezeknek a lemezeknek a gyorsítótárai inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva. Az Azure Kubernetes Service-ben saját felügyelt kulcsokat adhat meg a Saját kulcsok (BYOK) azure-lemezekkel való használata után. Ezeknek a lemezeknek a gyorsítótárai a megadott kulccsal is titkosítva vannak.

A gazdagépalapú titkosítás eltér az Azure Storage által használt kiszolgálóoldali titkosítástól (SSE). Az Azure által felügyelt lemezek az Azure Storage használatával automatikusan titkosítják az inaktív adatokat az adatok mentésekor. A gazdagépalapú titkosítás a VM gazdagépével kezeli a titkosítást, mielőtt az adatok az Azure Storage-ba kerülnek.

Mielőtt hozzákezdene

Mielőtt hozzákezdene, tekintse át az alábbi előfeltételeket és korlátozásokat.

Előfeltételek

• Győződjön meg arról, hogy telepítve van a CLI 2.23-s vagy újabb verziója.

Korlátozások

• Ez a funkció csak fürt- vagy csomópontkészlet-létrehozási időpontban állítható be.
• Ez a funkció csak olyan Azure-régiókban engedélyezhető, amelyek támogatják az Azure-beli felügyelt lemezek kiszolgálóoldali titkosítását, és csak meghatározott támogatott virtuálisgép-méretekkel.
• Ehhez a funkcióhoz virtuálisgép-méretezési csoportokon alapuló AKS-fürtre és csomópontkészletre van szükség virtuálisgép-készlet típusa.

Titkosítás engedélyezése a gazdagépen az AKS-fürthöz

Mielőtt gazdagépalapú titkosítással rendelkező csomópontkészletet ad hozzá, győződjön meg arról, hogy a EncryptionAtHost funkció engedélyezve van az előfizetéséhez:

# Register the EncryptionAtHost feature
az feature register --namespace Microsoft.Compute --name EncryptionAtHost

# Wait for registration to complete (this may take several minutes)
az feature show --namespace Microsoft.Compute --name EncryptionAtHost --query "properties.state"

# Refresh the provider registration
az provider register --namespace Microsoft.Compute

Gazdagépalapú titkosítás használata új fürtökön

• Hozzon létre egy új fürtöt, és konfigurálja a fürtügynök csomópontjait gazdagépalapú titkosítás használatára a az aks create--enable-encryption-at-host jelölővel ellátott paranccsal.

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --node-vm-size Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Gazdagépalapú titkosítás használata meglévő klasztereken

• Egy meglévő fürt gazdagépalapú titkosításának engedélyezéséhez adjon hozzá egy új csomópontkészletet a az aks nodepool add jelölővel ellátott --enable-encryption-at-host paranccsal.

  az aks nodepool add --name hostencrypt --cluster-name $MY_AKS_CLUSTER --resource-group $MY_RESOURCE_GROUP -s Standard_DS2_v2 --enable-encryption-at-host
  

  Eredmények:

  {
      "agentPoolProfile": {
          "enableEncryptionAtHost": true,
          "name": "hostencrypt",
          "nodeCount": 1,
          "osDiskSizeGB": 30,
          "vmSize": "Standard_DS2_v2"
      },
      ...
  }
  

Következő lépések

• Tekintse át az AKS-fürt biztonságának ajánlott gyakorlatokat.
• További információ a gazdagépalapú titkosításról.