Kulcskezelő szolgáltatás stb. titkosítás hozzáadása egy Azure Kubernetes Service-fürthöz

Ez a cikk bemutatja, hogyan kapcsolhatja be a titkosítást inaktív állapotban az Azure Kubernetes Service (AKS) titkos kulcsainak egy stb. kulcs-érték tárolóban az Azure Key Vault és a kulcskezelő szolgáltatás (KMS) beépülő modul használatával. A KMS beépülő modul a következőre használható:

• Kulcs használata kulcstartóban etcd titkosításhoz.
• Hozza a saját kulcsait.
• Adjon meg inaktív titkosítást az etcd-ben tárolt titkos kódokhoz.
• Forgassa el a kulcsokat egy kulcstartóban.

A KMS használatával kapcsolatos további információkért lásd: KmS-szolgáltató használata adattitkosításhoz.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
• Az Azure CLI 2.39.0-s vagy újabb verziója. Futtassa az --version a verziót. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket.

Figyelmeztetés

2024. szeptember 15-től a Konnectivity már nem támogatott a privát kulcstartókhoz olyan új előfizetésekhez vagy előfizetésekhez, amelyek korábban nem használták ezt a konfigurációt. Azoknak az előfizetéseknek, amelyek jelenleg ezt a konfigurációt használják, vagy az elmúlt 60 napban használták, a támogatás addig folytatódik, amíg az AKS 1.30-s verziója el nem éri a közösségi támogatás élettartamát.

A KMS támogatja a Konnectivity vagy az API Server VNet Integration (előzetes verzió) használatát a nyilvános kulcstartókhoz.

A KMS támogatja az API Server VNet-integrációt (előzetes verzió) privát és nyilvános kulcstartókhoz is.

Az eredmények ellenőrzéséhez és a konnectivity-agent pod futásának megjelenítéséhez használható kubectl get po -n kube-system . Ha egy pod fut, az AKS-fürt Konnectivity-t használ. Az API Server VNet-integráció használatakor futtathatja a az aks show -g -n parancsot annak ellenőrzéséhez, hogy a enableVnetIntegration beállítás be van-e állítva true.

Korlátozások

A KMS etcd titkosítás AKS-sel való integrálása esetén a következő korlátozások érvényesek:

• A kulcs, a kulcstartó vagy a társított identitás törlése nem támogatott.
• A KMS etcd-titkosítás nem működik a rendszer által hozzárendelt felügyelt identitással. A key vault hozzáférési szabályzatát be kell állítani a funkció bekapcsolása előtt. A rendszer által hozzárendelt felügyelt identitás csak a fürt létrehozása után érhető el. Fontolja meg a ciklusfüggőséget.
• A "nyilvános hozzáférés engedélyezése adott virtuális hálózatokból és IP-címekről" vagy "nyilvános hozzáférés letiltása" tűzfalbeállítással rendelkező Azure Key Vault nem támogatott, mert blokkolja a KMS beépülő modulból a kulcstartóba érkező forgalmat.
• A KMS-t bekapcsolt fürt által támogatott titkos kulcsok maximális száma 2000. Fontos azonban megjegyezni, hogy a KMS v2 nem korlátozza ezt a korlátozást, és nagyobb számú titkos kódot képes kezelni.
• Nem támogatott saját (BYO) Azure Key Vault használata egy másik bérlőről.
• Ha a KMS be van kapcsolva, nem módosíthatja a társított kulcstartó módot (nyilvános vagy privát). A kulcstartó mód frissítéséhez először ki kell kapcsolnia a KMS-t, majd újra be kell kapcsolnia.
• Ha egy fürtön be van kapcsolva a KMS, és rendelkezik titkos kulcstartóval, az API Server VNet Integration (előzetes verzió) alagútját kell használnia. A Konnectivity nem támogatott.
• A Virtuálisgép-méretezési csoportok API használatával a fürt csomópontjait nullára skálázhatja le, így felszabadítja a csomópontokat. A fürt ezután leáll, és helyreállíthatatlanná válik.
• A KMS kikapcsolása után nem lehet megsemmisíteni a kulcsokat. A kulcsok megsemmisítése miatt az API-kiszolgáló leáll.

A KMS támogatja a nyilvános kulcstartót vagy a titkos kulcstartót.

A KMS bekapcsolása nyilvános kulcstartóhoz

A következő szakaszok azt ismertetik, hogyan kapcsolhatja be a KMS-t egy nyilvános kulcstartóhoz.

Nyilvános kulcstartó és -kulcs létrehozása

Figyelmeztetés

A kulcs vagy a kulcstartó törlése nem támogatott, ezért a fürt titkos kulcsai helyreállíthatatlanok lesznek.

Ha helyre kell állítania a kulcstartót vagy a kulcsot, tekintse meg az Azure Key Vault helyreállítható törlési és törlési védelemmel rendelkező helyreállítási kezelését.

Kulcstartó és kulcs létrehozása nem RBAC nyilvános kulcstartóhoz

az keyvault create Kulcstartó létrehozása azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) nélkül:

az keyvault create --name MyKeyVault --resource-group MyResourceGroup

Kulcs az keyvault key create létrehozása:

az keyvault key create --name MyKeyName --vault-name MyKeyVault

A az keyvault key show kulcsazonosító exportálása:

export KEY_ID=$(az keyvault key show --name MyKeyName --vault-name MyKeyVault --query 'key.kid' -o tsv)
echo $KEY_ID

Ez a példa a kulcsazonosítót a következő helyen KEY_IDtárolja: .

Kulcstartó és kulcs létrehozása nyilvános RBAC-kulcstartóhoz

Kulcstartó az keyvault create létrehozása az Azure RBAC használatával:

export KEYVAULT_RESOURCE_ID=$(az keyvault create --name MyKeyVault --resource-group MyResourceGroup  --enable-rbac-authorization true --query id -o tsv)

Saját maga rendeljen hozzá engedélyeket egy kulcs létrehozásához:

az role assignment create --role "Key Vault Crypto Officer" --assignee-object-id $(az ad signed-in-user show --query id -o tsv) --assignee-principal-type "User" --scope $KEYVAULT_RESOURCE_ID

Kulcs az keyvault key create létrehozása:

az keyvault key create --name MyKeyName --vault-name MyKeyVault

A az keyvault key show kulcsazonosító exportálása:

export KEY_ID=$(az keyvault key show --name MyKeyName --vault-name MyKeyVault --query 'key.kid' -o tsv)
echo $KEY_ID

Ez a példa a kulcsazonosítót a következő helyen KEY_IDtárolja: .

Felhasználó által hozzárendelt felügyelt identitás létrehozása nyilvános kulcstartóhoz

Felhasználó által hozzárendelt felügyelt identitás létrehozásához használható az identity create :

az identity create --name MyIdentity --resource-group MyResourceGroup

Az az identity show identitásobjektum azonosítójának lekérése:

IDENTITY_OBJECT_ID=$(az identity show --name MyIdentity --resource-group MyResourceGroup --query 'principalId' -o tsv)
echo $IDENTITY_OBJECT_ID

Az előző példa az identitásobjektum-azonosító értékét tárolja a következőben IDENTITY_OBJECT_ID: .

Az identitás erőforrás-azonosítójának lekérésére használható az identity show :

IDENTITY_RESOURCE_ID=$(az identity show --name MyIdentity --resource-group MyResourceGroup --query 'id' -o tsv)
echo $IDENTITY_RESOURCE_ID

Ez a példa az identitáserőforrás-azonosító értékét tárolja a következőben IDENTITY_RESOURCE_ID: .

Engedélyek hozzárendelése nyilvános kulcstartó visszafejtéséhez és titkosításához

Az alábbi szakaszok bemutatják, hogyan rendelhet visszafejtési és titkosítási engedélyeket egy titkos kulcstartóhoz.

Engedélyek hozzárendelése nem RBAC nyilvános kulcstartóhoz

Ha a kulcstartó nincs beállítva --enable-rbac-authorization, az keyvault set-policy létrehozhat egy Azure Key Vault-szabályzatot.

az keyvault set-policy --name MyKeyVault --key-permissions decrypt encrypt --object-id $IDENTITY_OBJECT_ID

RBAC nyilvános kulcstartó engedélyeinek hozzárendelése

Ha a kulcstartó be van állítva --enable-rbac-authorization, rendelje hozzá a Key Vault titkosítási felhasználói szerepkörét a visszafejtéshez és titkosításhoz.

az role assignment create --role "Key Vault Crypto User" --assignee-object-id $IDENTITY_OBJECT_ID --assignee-principal-type "ServicePrincipal" --scope $KEYVAULT_RESOURCE_ID

Nyilvános kulcstartóval rendelkező AKS-fürt létrehozása és a KMS stb. titkosítás bekapcsolása

A KMS etcd-titkosítás bekapcsolásához hozzon létre egy AKS-fürtöt az az aks create paranccsal. Használhatja a --enable-azure-keyvault-kms, --azure-keyvault-kms-key-vault-network-accessés --azure-keyvault-kms-key-id a paramétereket.az aks create

az aks create \
    --name myAKSCluster \
    --resource-group MyResourceGroup \
    --assign-identity $IDENTITY_RESOURCE_ID \
    --enable-azure-keyvault-kms \
    --azure-keyvault-kms-key-vault-network-access "Public" \
    --azure-keyvault-kms-key-id $KEY_ID \
    --generate-ssh-keys

Meglévő AKS-fürt frissítése a KMS etcd-titkosítás bekapcsolásához egy nyilvános kulcstartóhoz

Egy meglévő fürt KMS etcd-titkosításának bekapcsolásához használja az az aks update parancsot. Használhatja a --enable-azure-keyvault-kms, --azure-keyvault-kms-key-vault-network-accessés --azure-keyvault-kms-key-id a paramétereket.az-aks-update

az aks update --name myAKSCluster --resource-group MyResourceGroup --enable-azure-keyvault-kms --azure-keyvault-kms-key-vault-network-access "Public" --azure-keyvault-kms-key-id $KEY_ID

Az alábbi paranccsal frissítse az összes titkos kódot. Ha nem futtatja ezt a parancsot, a korábban létrehozott titkos kulcsok már nem lesznek titkosítva. Nagyobb fürtök esetén célszerű a titkos kódokat névtér alapján felosztani, vagy létrehozni egy frissítési szkriptet.

kubectl get secrets --all-namespaces -o json | kubectl replace -f -

Meglévő kulcsok elforgatása nyilvános kulcstartóban

A kulcsazonosító módosítása (beleértve a kulcsnév vagy a kulcsverzió módosítását is) után használhatja az az aks update parancsot. A kms-ben meglévő kulcsok az-aks-update elforgatásához használhatja a --enable-azure-keyvault-kms, --azure-keyvault-kms-key-vault-network-accessés --azure-keyvault-kms-key-id a paramétereket.

Figyelmeztetés

A kulcsváltás után ne felejtse el frissíteni az összes titkos kulcsot. Ha nem frissíti az összes titkos kulcsot, a titkos kódok nem érhetők el, ha a korábban létrehozott kulcsok nem léteznek, vagy már nem működnek.

A KMS egyszerre 2 kulcsot használ. Az első kulcsváltás után a következő kulcsváltásig meg kell győződnie arról, hogy a régi és az új kulcs is érvényes (nem járt le). A második kulcs elforgatása után a legrégebbi kulcs biztonságosan eltávolítható/lejárt

az aks update --name myAKSCluster --resource-group MyResourceGroup  --enable-azure-keyvault-kms --azure-keyvault-kms-key-vault-network-access "Public" --azure-keyvault-kms-key-id $NEW_KEY_ID 

Az alábbi paranccsal frissítse az összes titkos kódot. Ha nem futtatja ezt a parancsot, a korábban létrehozott titkos kulcsok továbbra is titkosítva lesznek az előző kulccsal. Nagyobb fürtök esetén célszerű a titkos kódokat névtér alapján felosztani, vagy létrehozni egy frissítési szkriptet.

kubectl get secrets --all-namespaces -o json | kubectl replace -f -

A KMS bekapcsolása privát kulcstartóhoz

Ha bekapcsolja a KMS-t egy privát kulcstartóhoz, az AKS automatikusan létrehoz egy privát végpontot és egy privát kapcsolatot a csomópont erőforráscsoportjában. A kulcstartó hozzáad egy privát végpontkapcsolatot az AKS-fürthöz.

Figyelmeztetés

A KMS csak az API Server VNet-integrációt (előzetes verzió) támogatja a titkos kulcstartóhoz.

Titkos kulcstartó és kulcs létrehozása

Figyelmeztetés

A kulcs vagy a kulcstartó törlése nem támogatott, ezért a fürt titkos kulcsai helyreállíthatatlanok lesznek.

Ha helyre kell állítania a kulcstartót vagy a kulcsot, tekintse meg az Azure Key Vault helyreállítható törlési és törlési védelemmel rendelkező helyreállítási kezelését.

Privát kulcstartó létrehozásához használható az keyvault create :

az keyvault create --name MyKeyVault --resource-group MyResourceGroup --public-network-access Disabled

Kulcs az keyvault key create létrehozása:

az keyvault key create --name MyKeyName --vault-name MyKeyVault

Nem támogatott kulcsok létrehozása vagy frissítése privát végponttal nem rendelkező privát kulcstartóban. A titkos kulcstartók kezeléséről további információt a Kulcstartó integrálása az Azure Private Link használatával című témakörben talál.

Felhasználó által hozzárendelt felügyelt identitás létrehozása privát kulcstartóhoz

Felhasználó által hozzárendelt felügyelt identitás létrehozásához használható az identity create :

az identity create --name MyIdentity --resource-group MyResourceGroup

Az az identity show identitásobjektum azonosítójának lekérése:

IDENTITY_OBJECT_ID=$(az identity show --name MyIdentity --resource-group MyResourceGroup --query 'principalId' -o tsv)
echo $IDENTITY_OBJECT_ID

Az előző példa az identitásobjektum-azonosító értékét tárolja a következőben IDENTITY_OBJECT_ID: .

Az identitás erőforrás-azonosítójának lekérésére használható az identity show :

IDENTITY_RESOURCE_ID=$(az identity show --name MyIdentity --resource-group MyResourceGroup --query 'id' -o tsv)
echo $IDENTITY_RESOURCE_ID

Ez a példa az identitáserőforrás-azonosító értékét tárolja a következőben IDENTITY_RESOURCE_ID: .

Titkos kulcstartó visszafejtéséhez és titkosításához szükséges engedélyek hozzárendelése

Az alábbi szakaszok bemutatják, hogyan rendelhet visszafejtési és titkosítási engedélyeket egy titkos kulcstartóhoz.

Engedélyek hozzárendelése nem RBAC titkoskulcs-tárolóhoz

Feljegyzés

Privát kulcstartó használata esetén az AKS nem tudja ellenőrizni az identitás engedélyeit. Ellenőrizze, hogy az identitás engedélyt kapott-e a kulcstartó elérésére a KMS engedélyezése előtt.

Ha a kulcstartó nincs beállítva --enable-rbac-authorization, az keyvault set-policy létrehozhat egy kulcstartó-szabályzatot az Azure-ban:

az keyvault set-policy --name MyKeyVault --key-permissions decrypt encrypt --object-id $IDENTITY_OBJECT_ID

RBAC-titkoskulcs-tároló engedélyeinek hozzárendelése

Ha a kulcstartó be van állítva --enable-rbac-authorization, rendeljen hozzá egy Azure RBAC-szerepkört, amely tartalmazza a visszafejtési és titkosítási engedélyeket:

az role assignment create --role "Key Vault Crypto User" --assignee-object-id $IDENTITY_OBJECT_ID --assignee-principal-type "ServicePrincipal" --scope $KEYVAULT_RESOURCE_ID

Engedélyek hozzárendelése privát hivatkozás létrehozásához

A titkos kulcstartók esetében a Key Vault közreműködői szerepköre szükséges a privát kulcstartó és a fürt közötti privát kapcsolat létrehozásához.

az role assignment create --role "Key Vault Contributor" --assignee-object-id $IDENTITY_OBJECT_ID --assignee-principal-type "ServicePrincipal" --scope $KEYVAULT_RESOURCE_ID

Privát kulcstartóval rendelkező AKS-fürt létrehozása és a KMS stb. titkosítás bekapcsolása

Ha be szeretné kapcsolni a KMS etcd titkosítást egy titkos kulcstartóhoz, hozzon létre egy AKS-fürtöt az az aks create paranccsal. A , , --azure-keyvault-kms-key-id--azure-keyvault-kms-key-vault-network-accessés --azure-keyvault-kms-key-vault-resource-id paramétereket használhatja --enable-azure-keyvault-kmsa következővelaz-aks-create: .

az aks create \
    --name myAKSCluster \
    --resource-group MyResourceGroup \
    --assign-identity $IDENTITY_RESOURCE_ID \
    --enable-azure-keyvault-kms \
    --azure-keyvault-kms-key-id $KEY_ID \
    --azure-keyvault-kms-key-vault-network-access "Private" \
    --azure-keyvault-kms-key-vault-resource-id $KEYVAULT_RESOURCE_ID \
    --generate-ssh-keys

Meglévő AKS-fürt frissítése a KMS etcd-titkosítás bekapcsolásához egy titkos kulcstartóhoz

A KMS etcd titkosítás bekapcsolásához egy privát kulcstartóval rendelkező meglévő fürtön használja az az aks update parancsot. A , , --azure-keyvault-kms-key-id--azure-keyvault-kms-key-vault-network-accessés --azure-keyvault-kms-key-vault-resource-id paramétereket használhatja --enable-azure-keyvault-kmsa következővelaz-aks-update: .

az aks update --name myAKSCluster --resource-group MyResourceGroup --enable-azure-keyvault-kms --azure-keyvault-kms-key-id $KEY_ID --azure-keyvault-kms-key-vault-network-access "Private" --azure-keyvault-kms-key-vault-resource-id $KEYVAULT_RESOURCE_ID

Az alábbi paranccsal frissítse az összes titkos kódot. Ha nem futtatja ezt a parancsot, a korábban létrehozott titkos kulcsok nem lesznek titkosítva. Nagyobb fürtök esetén célszerű a titkos kódokat névtér alapján felosztani, vagy létrehozni egy frissítési szkriptet.

kubectl get secrets --all-namespaces -o json | kubectl replace -f -

Meglévő kulcsok elforgatása privát kulcstartóban

A kulcsazonosító (beleértve a kulcsnevet és a kulcsverziót) módosítása után használhatja az az aks update parancsot. A kms meglévő kulcsainak elforgatásához használhatja a --enable-azure-keyvault-kms, --azure-keyvault-kms-key-id, --azure-keyvault-kms-key-vault-network-accessés --azure-keyvault-kms-key-vault-resource-id paramétereket az-aks-update .

Figyelmeztetés

A kulcsváltás után ne felejtse el frissíteni az összes titkos kulcsot. Ha nem frissíti az összes titkos kulcsot, a titkos kódok nem érhetők el, ha a korábban létrehozott kulcsok nem léteznek, vagy már nem működnek.

A kulcs elforgatása után az előző kulcs (key1) továbbra is gyorsítótárazva lesz, és nem kell törölni. Ha azonnal törölni szeretné az előző kulcsot (key1), akkor kétszer kell elforgatnia a kulcsot. Ezután a rendszer gyorsítótárazza a 2. és a 3. kulcsot, és az 1. kulcs a meglévő fürt befolyásolása nélkül törölhető.

az aks update --name myAKSCluster --resource-group MyResourceGroup  --enable-azure-keyvault-kms --azure-keyvault-kms-key-id $NewKEY_ID --azure-keyvault-kms-key-vault-network-access "Private" --azure-keyvault-kms-key-vault-resource-id $KEYVAULT_RESOURCE_ID

Az alábbi paranccsal frissítse az összes titkos kódot. Ha nem frissíti az összes titkos kulcsot, a korábban létrehozott titkos kulcsok az előző kulccsal lesznek titkosítva. Nagyobb fürtök esetén célszerű a titkos kódokat névtér alapján felosztani, vagy létrehozni egy frissítési szkriptet.

kubectl get secrets --all-namespaces -o json | kubectl replace -f -

Kulcstartó mód frissítése

Feljegyzés

Ha másik kulcstartót szeretne módosítani egy másik móddal (akár nyilvános, akár privát), közvetlenül futtathatja az aks update . A csatlakoztatott kulcstartó módjának módosításához először ki kell kapcsolnia a KMS-t, majd újra be kell kapcsolnia az új kulcstartó azonosítóinak használatával.

A következő szakaszok bemutatják, hogyan migrálhat egy csatolt nyilvános kulcstartót privát módba. Ezek a lépések a privátról a nyilvánosra való migráláshoz is használhatók.

A KMS kikapcsolása a fürtön

Kapcsolja ki a KMS-t egy meglévő fürtön, és engedje fel a kulcstartót:

az aks update --name myAKSCluster --resource-group MyResourceGroup --disable-azure-keyvault-kms

Az alábbi paranccsal frissítse az összes titkos kódot. Ha nem futtatja ezt a parancsot, a korábban létrehozott titkos kulcsok továbbra is titkosítva lesznek az előző kulccsal. Nagyobb fürtök esetén célszerű a titkos kódokat névtér alapján felosztani, vagy létrehozni egy frissítési szkriptet.

kubectl get secrets --all-namespaces -o json | kubectl replace -f -

A key vault mód módosítása

Frissítse a kulcstartót nyilvánosról privátra:

az keyvault update --name MyKeyVault --resource-group MyResourceGroup --public-network-access Disabled

Privátról nyilvánosra --public-network-access való migrálás a Enabled fenti parancsban.

A kmS bekapcsolása a fürthöz a frissített kulcstartó használatával

A KMS bekapcsolása a frissített titkos kulcstartó használatával:

az aks update --name myAKSCluster --resource-group MyResourceGroup  --enable-azure-keyvault-kms --azure-keyvault-kms-key-id $NewKEY_ID --azure-keyvault-kms-key-vault-network-access "Private" --azure-keyvault-kms-key-vault-resource-id $KEYVAULT_RESOURCE_ID

A KMS beállítása után bekapcsolhatja a kulcstartó diagnosztikai beállításait a titkosítási naplók ellenőrzéséhez.

KMS kikapcsolása

A KMS kikapcsolása előtt az alábbi Azure CLI-paranccsal ellenőrizheti, hogy a KMS be van-e kapcsolva:

az aks list --query "[].{Name:name, KmsEnabled:securityProfile.azureKeyVaultKms.enabled, KeyId:securityProfile.azureKeyVaultKms.keyId}" -o table

Ha az eredmények megerősítik, hogy a KMS be van kapcsolva, futtassa a következő parancsot a KMS kikapcsolásához a fürtön:

az aks update --name myAKSCluster --resource-group MyResourceGroup --disable-azure-keyvault-kms

Az alábbi paranccsal frissítse az összes titkos kódot. Ha nem futtatja ezt a parancsot, a korábban létrehozott titkos kulcsok továbbra is titkosítva lesznek az előző kulccsal, és a kulcstartó titkosítási és visszafejtési engedélyei továbbra is szükségesek. Nagyobb fürtök esetén célszerű a titkos kódokat névtér alapján felosztani, vagy létrehozni egy frissítési szkriptet.

kubectl get secrets --all-namespaces -o json | kubectl replace -f -

KMS v2-támogatás

Az AKS 1.27-es verziójától kezdve a KMS szolgáltatás bekapcsolása konfigurálja a KMS 2-es verzióját. A KMS v2-vel nem korlátozódhat a korábbi verziók által támogatott 2000 titkos kódra. További információ: KMS V2-fejlesztések.

Migrálás a KMS v2-re

Ha a fürt verziója 1.27-nél régebbi, és már bekapcsolta a KMS-t, a fürt 1.27-es vagy újabb verziójára való frissítés le lesz tiltva. A KMS v2-re való migráláshoz kövesse az alábbi lépéseket:

1. Kapcsolja ki a KMS-t a fürtön.
2. Végezze el a tárterület migrálását.
3. Frissítse a fürtöt az 1.27-es vagy újabb verzióra.
4. Kapcsolja be a KMS-t a fürtön.
5. Végezze el a tárterület migrálását.

A KMS kikapcsolása a tároló áttelepítéséhez

Ha ki szeretné kapcsolni a KMS-t egy meglévő fürtön, használja a az aks update parancsot az --disable-azure-keyvault-kms alábbi argumentummal:

az aks update --name myAKSCluster --resource-group MyResourceGroup --disable-azure-keyvault-kms

Tárterület migrálása

Az összes titkos kód frissítéséhez használja a kubectl get secrets parancsot az --all-namespaces argumentummal:

kubectl get secrets --all-namespaces -o json | kubectl replace -f -

Az AKS-fürt frissítése

Az AKS-fürt frissítéséhez használja a az aks upgrade parancsot. Állítsa be a verziót 1.27.x az argumentum használatával vagy újabb verziójára --kubernetes-version .

az aks upgrade --resource-group myResourceGroup --name myAKSCluster --kubernetes-version <AKS version>

Példa:

az aks upgrade --resource-group myResourceGroup --name myAKSCluster --kubernetes-version 1.27.1

A KMS bekapcsolása a tároló áttelepítése után

A titkos kulcsok titkosításához ismét bekapcsolhatja a KMS funkciót a fürtön. Ezt követően az AKS-fürt KMS v2-t használ. Ha nem szeretne áttelepülni a KMS 2-es verziójára, létrehozhat egy 1.27-es vagy újabb verziójú új fürtöt, ha a KMS be van kapcsolva.

Tároló migrálása a KMS v2-hez

A KMS v2-ben az összes titkos kód újratitkosításához használja a kubectl get secrets parancsot az --all-namespaces alábbi argumentummal:

kubectl get secrets --all-namespaces -o json | kubectl replace -f -