Acara
Membangun Aplikasi dan Agen AI
17 Mar, 21 - 21 Mar, 10
Bergabunglah dengan seri meetup untuk membangun solusi AI yang dapat diskalakan berdasarkan kasus penggunaan dunia nyata dengan sesama pengembang dan pakar.
Daftar sekarangOtoritas sertifikat kustom (CA) di Azure Kubernetes Service (AKS) (pratinjau)
Artikel ini menunjukkan kepada Anda cara membuat CA kustom dan menerapkannya ke kluster AKS Anda.
- Langganan Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis.
- Azure CLI terinstal (versi 2.43.0 atau lebih tinggi).
- String sertifikat yang dikodekan base64 atau file teks dengan sertifikat.
- Fitur ini saat ini tidak didukung untuk kumpulan simpul Windows.
Penting
Fitur pratinjau AKS tersedia berdasarkan layanan mandiri. Pratinjau disediakan "apa adanya" dan "sebagaimana tersedia," dan mereka dikecualikan dari perjanjian tingkat layanan dan garansi terbatas. Pratinjau AKS sebagian dicakup oleh dukungan pelanggan berdasarkan upaya terbaik. Dengan demikian, fitur-fitur ini tidak dimaksudkan untuk penggunaan produksi. Untuk informasi lebih lanjut, lihat artikel dukungan berikut ini:
Instal ekstensi aks-preview menggunakan
az extension addperintah .Azure CLIaz extension add --name aks-previewPerbarui ke versi terbaru ekstensi menggunakan
az extension updateperintah .Azure CLIaz extension update --name aks-preview
Daftarkan
CustomCATrustPreviewbendera fitur menggunakanaz feature registerperintah .Azure CLIaz feature register --namespace "Microsoft.ContainerService" --name "CustomCATrustPreview"Dibutuhkan beberapa menit agar status menampilkan Terdaftar.
Verifikasi status pendaftaran menggunakan
az feature showperintah .Azure CLIaz feature show --namespace "Microsoft.ContainerService" --name "CustomCATrustPreview"Saat status mencerminkan Terdaftar, refresh pendaftaran penyedia sumber daya Microsoft.ContainerService menggunakan
az provider registerperintah .Azure CLIaz provider register --namespace Microsoft.ContainerService
Jika lingkungan Anda mengharuskan CA kustom Anda ditambahkan ke penyimpanan kepercayaan simpul untuk provisi yang benar, Anda perlu meneruskan file teks yang berisi hingga 10 sertifikat yang dipisahkan baris kosong selama
az aks createatauaz aks updateoperasi. Contoh file teks:txt-----BEGIN CERTIFICATE----- cert1 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- cert2 -----END CERTIFICATE-----
Instal CA selama pembuatan kumpulan simpul menggunakan
az aks createperintah dan tentukan file teks Anda untuk--custom-ca-trust-certificatesparameter .Azure CLIaz aks create \ --resource-group <resource-group-name> \ --name <cluster-name> \ --node-count 2 \ --enable-custom-ca-trust \ --custom-ca-trust-certificates pathToFileWithCAs \ --generate-ssh-keys
Perbarui CA yang diteruskan ke kluster Anda selama boot up menggunakan
az aks updateperintah dan menentukan file teks Anda untuk--custom-ca-trust-certificatesparameter .Azure CLIaz aks update \ --resource-group <resource-group-name> \ --name <cluster-name> \ --custom-ca-trust-certificates pathToFileWithCAsCatatan
Operasi ini memicu pembaruan model, memastikan simpul baru memiliki CA terbaru yang diperlukan untuk provisi yang benar. AKS membuat simpul tambahan, menguras simpul yang ada, menghapusnya, dan menggantinya dengan simpul yang memiliki set CA baru yang terinstal.
Jika lingkungan Anda dapat berhasil disediakan tanpa CA kustom, Anda dapat memberikan CA dengan menyebarkan rahasia di kube-system namespace. Pendekatan ini memungkinkan rotasi sertifikat tanpa perlu rekreasi node.
Buat manifes YAML rahasia Kubernetes dengan string sertifikat yang dikodekan base64 Anda di bidang
data.YAMLapiVersion: v1 kind: Secret metadata: name: custom-ca-trust-secret namespace: kube-system type: Opaque data: ca1.crt: | {base64EncodedCertStringHere} ca2.crt: | {anotherBase64EncodedCertStringHere}Data dari rahasia ini digunakan untuk memperbarui CA pada semua node. Pastikan rahasia diberi nama
custom-ca-trust-secretdan dibuat dikube-systemnamespace layanan. Menginstal CA menggunakan rahasia dikube-systemnamespace memungkinkan rotasi CA tanpa perlu rekreasi simpul. Untuk memperbarui atau menghapus CA, Anda dapat mengedit dan menerapkan manifes YAML. Polling kluster untuk perubahan dan memperbarui simpul yang sesuai. Mungkin perlu waktu beberapa menit sebelum perubahan diterapkan.Catatan
mulai ulang kontainer pada simpul mungkin diperlukan agar CA diambil dengan benar. Jika muncul seperti CA tidak ditambahkan dengan benar ke penyimpanan kepercayaan simpul, Anda dapat memicu mulai ulang menggunakan perintah berikut dari shell simpul:
systemctl restart containerd
Konfigurasikan kluster AKS baru untuk menggunakan CA kustom menggunakan
az aks createperintah dengan--enable-custom-ca-trustparameter .Azure CLIaz aks create \ --resource-group <resource-group-name> \ --name <cluster-name> \ --node-count 2 \ --enable-custom-ca-trust \ --generate-ssh-keys
Mengonfigurasi kluster AKS baru untuk menggunakan CA kustom dengan CA yang diinstal sebelum simpul di-boot
Konfigurasikan kluster AKS baru untuk menggunakan CA kustom dengan CA yang diinstal sebelum simpul melakukan boot menggunakan
az aks createperintah dengan--enable-custom-ca-trustparameter dan--custom-ca-trust-certificates.Azure CLIaz aks create \ --resource-group <resource-group-name> \ --name <cluster-name> \ --node-count 2 \ --enable-custom-ca-trust \ --custom-ca-trust-certificates pathToFileWithCAs \ --generate-ssh-keys
Konfigurasikan kluster AKS yang ada agar CA kustom Anda ditambahkan ke penyimpanan kepercayaan simpul sebelum boot menggunakan
az aks updateperintah dengan--custom-ca-trust-certificatesparameter .Azure CLIaz aks update \ --resource-group <resource-group-name> \ --name <cluster-name> \ --custom-ca-trust-certificates pathToFileWithCAs
Konfigurasikan kumpulan simpul baru untuk menggunakan CA kustom menggunakan
az aks nodepool addperintah dengan--enable-custom-ca-trustparameter .Azure CLIaz aks nodepool add \ --cluster-name <cluster-name> \ --resource-group <resource-group-name> \ --name <node-pool-name> \ --enable-custom-ca-trust \ --os-type LinuxJika tidak ada kumpulan simpul lain dengan fitur yang diaktifkan, kluster harus merekonsiliasi pengaturannya agar perubahan diterapkan. Operasi ini terjadi secara otomatis sebagai bagian dari perulangan rekonsiliasi AKS. Sebelum operasi, set daemon dan pod tidak muncul di kluster. Anda dapat memicu operasi rekonsiliasi langsung menggunakan
az aks updateperintah . Set daemon dan pod muncul setelah pembaruan selesai.
Konfigurasikan kumpulan simpul yang ada untuk menggunakan CA kustom menggunakan
az aks nodepool updateperintah dengan--enable-custom-ca-trustparameter .Azure CLIaz aks nodepool update \ --resource-group <resource-group-name> \ --cluster-name <cluster-name> \ --name <node-pool-name> \ --enable-custom-ca-trustJika tidak ada kumpulan simpul lain dengan fitur yang diaktifkan, kluster harus merekonsiliasi pengaturannya agar perubahan diterapkan. Operasi ini terjadi secara otomatis sebagai bagian dari perulangan rekonsiliasi AKS. Sebelum operasi, set daemon dan pod tidak muncul di kluster. Anda dapat memicu operasi rekonsiliasi langsung menggunakan
az aks updateperintah . Set daemon dan pod muncul setelah pembaruan selesai.
Nonaktifkan fitur CA kustom pada kumpulan simpul yang ada menggunakan
az aks nodepool updateperintah dengan--disable-custom-ca-trustparameter .Azure CLIaz aks nodepool update \ --resource-group <resource-group-name> \ --cluster-name <cluster-name> \ --name <node-pool-name> \ --disable-custom-ca-trust
Fitur diaktifkan dan rahasia dengan CA ditambahkan, tetapi operasi gagal dengan Sertifikat X.509 Ditandatangani oleh kesalahan Otoritas Tidak Diketahui
AKS memerlukan sertifikasi yang diteruskan dalam rahasia yang dibuat pengguna untuk diformat dengan benar dan dikodekan base64. Pastikan CA yang Anda lewati dikodekan dengan benar base64 dan file dengan CA tidak memiliki jeda baris CRLF.
Sertifikat yang diteruskan ke --custom-ca-trust-certificates tidak boleh dikodekan base64.
Dari shell node, jalankan systemctl restart containerd. Setelah kontainer dimulai ulang, sertifikasi baru diambil dengan benar oleh runtime kontainer.
Untuk informasi selengkapnya tentang praktik terbaik keamanan AKS, lihat Praktik terbaik untuk keamanan klaster dan pemutakhiran di Azure Kubernetes Service (AKS).
Berkolaborasi dengan kami di GitHub
Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.
Umpan balik Azure Kubernetes Service
Azure Kubernetes Service adalah proyek sumber terbuka. Pilih tautan untuk memberikan umpan balik:
Sumber Daya Tambahan:
Pelatihan
Jalur pembelajaran
Arsitektur dan operasi kluster Azure Kubernetes Service (AKS) - Training
Arsitektur dan operasi kluster Azure Kubernetes Service (AKS)
Sertifikasi
Bersertifikat Microsoft: Azure Administrator Associate - Certifications
Menunjukkan keterampilan utama untuk mengonfigurasi, mengelola, mengamankan, dan mengelola fungsi profesional utama di Microsoft Azure.
Dokumentasi
-
Rotasi Sertifikat di Azure Kubernetes Service (AKS) - Azure Kubernetes Service
Pelajari tentang rotasi sertifikat di kluster Azure Kubernetes Service (AKS).
-
Gambaran umum manajemen sertifikat di AKS yang diaktifkan oleh Azure Arc - AKS enabled by Azure Arc
Pelajari cara mengelola sertifikat untuk komunikasi yang aman antara komponen dalam kluster di AKS dengan menyediakan dan mengelola sertifikat di AKS yang diaktifkan oleh Arc.
-
Menyambungkan ke node kluster Azure Kubernetes Service (AKS) - Azure Kubernetes Service
Pelajari cara menyambungkan ke node kluster Azure Kubernetes Service (AKS) untuk tugas pemecahan masalah dan pemeliharaan.
-
Menghentikan dan memulai kluster Azure Kubernetes Service (AKS) - Azure Kubernetes Service
Pelajari cara menghentikan dan memulai kluster Azure Kubernetes Service (AKS).