Enkripsi berbasis host pada Azure Kubernetes Service (AKS)

Dengan enkripsi berbasis host, data yang disimpan pada host komputer virtual dari komputer virtual simpul agen AKS Anda dienkripsi saat tidak digunakan dan alur dienkripsi ke layanan Penyimpanan. Artinya, disk sementara dienkripsi saat tidak digunakan dengan kunci yang dikelola platform. Cache OS dan disk data dienkripsi saat tidak digunakan dengan kunci yang dikelola platform atau kunci yang dikelola pelanggan tergantung pada jenis enkripsi yang ditetapkan pada disk tersebut.

Secara default, saat menggunakan AKS, OS, dan disk data menggunakan enkripsi sisi server dengan kunci yang dikelola platform. Cache untuk disk ini dienkripsi saat tidak aktif dengan kunci yang dikelola platform. Anda dapat menentukan kunci terkelola Anda sendiri yang mengikuti Bring Your Own Key (BYOK) dengan disk Azure di Azure Kubernetes Service. Cache untuk disk ini juga dienkripsi menggunakan kunci yang Anda tentukan.

Enkripsi berbasis host berbeda dari enkripsi sisi server (SSE), yang digunakan oleh Azure Storage. Disk yang dikelola Azure menggunakan Azure Storage untuk mengenkripsi data saat tidak aktif secara otomatis saat menyimpan data. Enkripsi berbasis host menggunakan host Mesin Virtual untuk menangani enkripsi sebelum data mengalir melalui Azure Storage.

Sebelum Anda mulai

Sebelum memulai, tinjau prasyarat dan batasan berikut.

Prasyarat

• Pastikan Anda memiliki ekstensi CLI v2.23 atau yang lebih tinggi yang terinstal.

Batasan

• Fitur ini hanya dapat diatur pada waktu pembuatan kluster atau kumpulan simpul.
• Fitur ini hanya dapat diaktifkan di wilayah Azure yang mendukung enkripsi sisi server disk terkelola Azure dan hanya dengan ukuran VM tertentu yang didukung.
• Fitur ini memerlukan kluster AKS dan kumpulan simpul berdasarkan Virtual Machine Scale Sets sebagai jenis set VM.

Menggunakan enkripsi berbasis host pada kluster baru

• Buat kluster baru dan konfigurasikan node agen kluster untuk menggunakan enkripsi berbasis host menggunakan az aks create perintah dengan --enable-encryption-at-host bendera .

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --storage-pool-sku Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Menggunakan enkripsi berbasis host pada kluster yang ada

• Aktifkan enkripsi berbasis host pada kluster yang ada dengan menambahkan kumpulan simpul baru menggunakan az aks nodepool add perintah dengan --enable-encryption-at-host bendera .

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

Langkah berikutnya

• Tinjau praktik terbaik untuk keamanan kluster AKS.
• Baca selengkapnya tentang enkripsi berbasis host.