Enkripsi berbasis host pada Azure Kubernetes Service (AKS)
Dengan enkripsi berbasis host, data yang disimpan pada host komputer virtual dari komputer virtual simpul agen AKS Anda dienkripsi saat tidak digunakan dan alur dienkripsi ke layanan Penyimpanan. Artinya, disk sementara dienkripsi saat tidak digunakan dengan kunci yang dikelola platform. Cache OS dan disk data dienkripsi saat tidak digunakan dengan kunci yang dikelola platform atau kunci yang dikelola pelanggan tergantung pada jenis enkripsi yang ditetapkan pada disk tersebut.
Secara default, saat menggunakan AKS, OS, dan disk data menggunakan enkripsi sisi server dengan kunci yang dikelola platform. Cache untuk disk ini dienkripsi saat tidak aktif dengan kunci yang dikelola platform. Anda dapat menentukan kunci terkelola Anda sendiri yang mengikuti Bring Your Own Key (BYOK) dengan disk Azure di Azure Kubernetes Service. Cache untuk disk ini juga dienkripsi menggunakan kunci yang Anda tentukan.
Enkripsi berbasis host berbeda dari enkripsi sisi server (SSE), yang digunakan oleh Azure Storage. Disk yang dikelola Azure menggunakan Azure Storage untuk mengenkripsi data saat tidak aktif secara otomatis saat menyimpan data. Enkripsi berbasis host menggunakan host Mesin Virtual untuk menangani enkripsi sebelum data mengalir melalui Azure Storage.
Sebelum memulai, tinjau prasyarat dan batasan berikut.
- Pastikan Anda memiliki ekstensi CLI v2.23 atau yang lebih tinggi yang terinstal.
- Fitur ini hanya dapat diatur pada waktu pembuatan kluster atau kumpulan simpul.
- Fitur ini hanya dapat diaktifkan di wilayah Azure yang mendukung enkripsi sisi server disk terkelola Azure dan hanya dengan ukuran VM tertentu yang didukung.
- Fitur ini memerlukan kluster AKS dan kumpulan simpul berdasarkan Virtual Machine Scale Sets sebagai jenis set VM.
Buat kluster baru dan konfigurasikan node agen kluster untuk menggunakan enkripsi berbasis host menggunakan
az aks create
perintah dengan--enable-encryption-at-host
bendera .az aks create \ --name myAKSCluster \ --resource-group myResourceGroup \ --node-vm-size Standard_DS2_v2 \ --location westus2 \ --enable-encryption-at-host \ --generate-ssh-keys
Aktifkan enkripsi berbasis host pada kluster yang ada dengan menambahkan kumpulan simpul baru menggunakan
az aks nodepool add
perintah dengan--enable-encryption-at-host
bendera .az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
- Tinjau praktik terbaik untuk keamanan kluster AKS.
- Baca selengkapnya tentang enkripsi berbasis host.
Umpan balik Azure Kubernetes Service
Azure Kubernetes Service adalah proyek sumber terbuka. Pilih tautan untuk memberikan umpan balik: