Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Questo articolo si applica ai cluster che usano l'esperienza legacy del Servizio di gestione delle chiavi di cui è necessario eseguire la migrazione dal Servizio di gestione delle chiavi v1 al Servizio di gestione delle chiavi v2. Per i cluster che eseguono Kubernetes versione 1.33 o successiva, è consigliabile usare la nuova esperienza di crittografia dei dati del Servizio di gestione delle chiavi, che offre chiavi gestite dalla piattaforma, chiavi gestite dal cliente con rotazione automatica delle chiavi e un'esperienza di configurazione semplificata.
Questo articolo illustra come eseguire la migrazione al Servizio di gestione delle chiavi v2 per i cluster con versioni precedenti alla 1.27. A partire dalla versione 1.27 di AKS, l'attivazione della funzionalità KMS configura KMS v2. Con il Servizio di gestione delle chiavi v2, non vi è il limite di 2.000 segreti supportati dalle versioni precedenti. Per ulteriori informazioni, vedere Miglioramenti del KMS v2.
Importante
Se la versione del cluster è precedente alla 1.27 e hai già attivato KMS, l'aggiornamento alla versione del cluster 1.27 o successive è bloccato.
Disattivare il Servizio di gestione delle chiavi
Disabilitare il Server di gestione delle chiavi in un cluster esistente utilizzando il comando
az aks updatecon il parametro--disable-azure-keyvault-kms.az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --disable-azure-keyvault-kmsAggiornare tutti i segreti usando il
kubectl get secretscomando per assicurarsi che i segreti creati in precedenza non siano più crittografati. Per i cluster di dimensioni maggiori, è consigliabile suddividere i segreti in base allo spazio dei nomi o creare uno script di aggiornamento. Se il comando precedente per aggiornare il Servizio di gestione delle chiavi ha esito negativo, eseguire comunque il comando seguente per evitare lo stato imprevisto per il plug-in KMS.kubectl get secrets --all-namespaces -o json | kubectl replace -f -Quando si esegue il comando, l'errore seguente è sicuro da ignorare:
The object has been modified; please apply your changes to the latest version and try again.
Aggiorna il tuo cluster AKS e attiva il KMS
Aggiorna il tuo cluster AKS alla versione 1.27 o successiva utilizzando il comando
az aks upgradecon il parametro--kubernetes-versionimpostato sulla versione desiderata. Nell'esempio seguente viene eseguito l'aggiornamento alla versione1.27.1:az aks upgrade --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --kubernetes-version 1.27.1Al termine dell'aggiornamento, è possibile attivare KMS per un key vault pubblico o privato utilizzando una delle seguenti risorse:
Aggiornare tutti i segreti usando il
kubectl get secretscomando per assicurarsi che i segreti creati in precedenza non siano più crittografati. Per i cluster di dimensioni maggiori, è consigliabile suddividere i segreti in base allo spazio dei nomi o creare uno script di aggiornamento. Se il comando precedente per aggiornare il Servizio di gestione delle chiavi ha esito negativo, eseguire comunque il comando seguente per evitare lo stato imprevisto per il plug-in KMS.kubectl get secrets --all-namespaces -o json | kubectl replace -f -Quando si esegue il comando, l'errore seguente è sicuro da ignorare:
The object has been modified; please apply your changes to the latest version and try again.
Passaggi successivi
Per ulteriori informazioni sull'utilizzo di KMS con AKS, vedere i seguenti articoli: