Crittografia basata su host nel servizio Azure Kubernetes (AKS)

Articolo
03/28/2024

Con la crittografia basata su host, i dati archiviati nell'host delle macchine virtuali dei nodi dell'agente del servizio Azure Kubernetes vengono crittografati mentre sono inattivi e vengono trasmessi crittografati al servizio di archiviazione. Ciò significa che i dischi temporanei vengono crittografati quando sono inattivi con chiavi gestite dalla piattaforma. La cache del sistema operativo e dei dischi dati viene crittografata quando è inattiva con chiavi gestite dalla piattaforma o con chiavi gestite dal cliente, in base al tipo di crittografia configurato su tali dischi.

Per impostazione predefinita, quando si usa il servizio Azure Kubernetes, i dischi del sistema operativo e dei dati usano la crittografia lato server con chiavi gestite dalla piattaforma. Le cache di questi dischi vengono crittografate mentre sono inattivi con chiavi gestite dalla piattaforma. È possibile specificare chiavi gestite personalizzate seguendo Bring your own keys (BYOK) con dischi di Azure nel servizio Azure Kubernetes. Anche le cache di questi dischi vengono crittografate usando la chiave specificata.

La crittografia basata su host è diversa dalla crittografia lato server usata da Archiviazione di Azure. I dischi gestiti da Azure usano Archiviazione di Azure per crittografare automaticamente i dati inattivi durante il salvataggio dei dati. La crittografia basata su host usa l'host della macchina virtuale per gestire la crittografia prima che i dati vengano trasmessi attraverso Archiviazione di Azure.

Operazioni preliminari

Prima di iniziare, esaminare i prerequisiti e le limitazioni seguenti.

Prerequisiti

Assicurarsi che sia installata l'estensione dell'interfaccia della riga di comando v2.23 o versione successiva.

Limiti

Questa funzionalità può essere impostata solo al momento della creazione del cluster o del pool di nodi.
Questa funzionalità può essere abilitata solo nelle aree di Azure che supportano la crittografia lato server dei dischi gestiti di Azure e solo con dimensioni di macchina virtuale supportate specifiche.
Questa funzionalità richiede un cluster del servizio Azure Kubernetes e un pool di nodi basato su set di scalabilità di macchine virtuali come tipo di set di macchine virtuali.

Usare la crittografia basata su host in nuovi cluster

Creare un nuovo cluster e configurare i nodi dell'agente cluster per l'uso della crittografia basata su host usando il comando az aks create con il flag --enable-encryption-at-host .
```
az aks create --name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 -l westus2 --enable-encryption-at-host
```

Usare la crittografia basata su host in cluster esistenti

Abilitare la crittografia basata su host in un cluster esistente aggiungendo un nuovo pool di nodi usando il comando az aks nodepool add con il flag --enable-encryption-at-host.
```
az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
```

Passaggi successivi

Esaminare le procedure consigliate per la sicurezza del cluster del servizio Azure Kubernetes.
Altre informazioni sulla crittografia basata su host.