Condividi tramite

Crittografia basata su host nel servizio Azure Kubernetes (AKS)

Con la crittografia basata su host, i dati archiviati nell'host delle macchine virtuali dei nodi dell'agente del servizio Azure Kubernetes vengono crittografati mentre sono inattivi e vengono trasmessi crittografati al servizio di archiviazione. Ciò significa che i dischi temporanei vengono crittografati quando sono inattivi con chiavi gestite dalla piattaforma. La cache del sistema operativo e dei dischi dati viene crittografata quando è inattiva con chiavi gestite dalla piattaforma o con chiavi gestite dal cliente, in base al tipo di crittografia configurato su tali dischi.

Per impostazione predefinita, quando si usa il servizio Azure Kubernetes, i dischi del sistema operativo e dei dati usano la crittografia lato server con chiavi gestite dalla piattaforma. Le cache di questi dischi vengono crittografate mentre sono inattivi con chiavi gestite dalla piattaforma. È possibile specificare chiavi gestite personalizzate seguendo Bring your own keys (BYOK) con dischi di Azure nel servizio Azure Kubernetes. Anche le cache di questi dischi vengono crittografate usando la chiave specificata.

La crittografia basata su host è diversa dalla crittografia lato server usata da Archiviazione di Azure. I dischi gestiti da Azure usano Archiviazione di Azure per crittografare automaticamente i dati inattivi durante il salvataggio dei dati. La crittografia basata su host usa l'host della macchina virtuale per gestire la crittografia prima che i dati vengano trasmessi attraverso Archiviazione di Azure.

Operazioni preliminari

Prima di iniziare, esaminare i prerequisiti e le limitazioni seguenti.

Prerequisiti

  • Assicurarsi che sia installata l'estensione dell'interfaccia della riga di comando v2.23 o versione successiva.

Limiti

  • Questa funzionalità può essere impostata solo al momento della creazione del cluster o del pool di nodi.
  • Questa funzionalità può essere abilitata solo nelle aree di Azure che supportano la crittografia lato server dei dischi gestiti di Azure e solo con dimensioni di macchina virtuale supportate specifiche.
  • Questa funzionalità richiede un cluster del servizio Azure Kubernetes e un pool di nodi basato su set di scalabilità di macchine virtuali come tipo di set di macchine virtuali.

Abilitare la crittografia sull'host per il cluster AKS

Prima di aggiungere un pool di nodi con crittografia basata su host, verificare che la funzionalità EncryptionAtHost sia abilitata per la sottoscrizione:

# Register the EncryptionAtHost feature
az feature register --namespace Microsoft.Compute --name EncryptionAtHost

# Wait for registration to complete (this may take several minutes)
az feature show --namespace Microsoft.Compute --name EncryptionAtHost --query "properties.state"

# Refresh the provider registration
az provider register --namespace Microsoft.Compute

Usare la crittografia basata su host in nuovi cluster

  • Creare un nuovo cluster e configurare i nodi dell'agente cluster per l'uso della crittografia basata su host usando il comando az aks create con il flag --enable-encryption-at-host .

    az aks create \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --node-vm-size Standard_DS2_v2 \
    --location westus2 \
    --enable-encryption-at-host \
    --generate-ssh-keys

Usare la crittografia basata su host in cluster esistenti

  • Abilitare la crittografia basata su host in un cluster esistente aggiungendo un nuovo pool di nodi usando il comando az aks nodepool add con il flag --enable-encryption-at-host.

    az aks nodepool add --name hostencrypt --cluster-name $MY_AKS_CLUSTER --resource-group $MY_RESOURCE_GROUP -s Standard_DS2_v2 --enable-encryption-at-host

    Risultati:

    {
    "agentPoolProfile": {
        "enableEncryptionAtHost": true,
        "name": "hostencrypt",
        "nodeCount": 1,
        "osDiskSizeGB": 30,
        "vmSize": "Standard_DS2_v2"
    },
    ...
}

Passaggi successivi

  • Last updated on