Azure Kubernetes Service クラスターの etcd シークレットを暗号化する

適用対象: AKS on Azure Stack HCI 22H2、AKS on Windows Server

この記事では、Azure Arc によって有効になっている AKS のAzure Kubernetes Service (AKS) 管理クラスターとワークロード クラスターの etcd シークレットの暗号化を監視およびトラブルシューティングする方法について説明します。

Kubernetes 内のシークレットは、パスワードや SSH キーなど、少量の機密データを含むオブジェクトです。 Kubernetes API サーバー内では、シークレットが etcd に格納されます。これは、すべてのクラスター データの Kubernetes バッキング ストアとして使用される可用性の高いキー値ストアです。 AKS Arc には etcd シークレットの暗号化が付属しており、暗号化キーの管理とローテーションが自動化されます。

監視とトラブルシューティング

Kubernetes クラスターでのアプリケーションのデプロイを簡略化するには、 ドキュメントとスクリプトを確認してください。

• Elasticsearch、Fluent Bit、Kibana を使用してログ記録を設定するには、次の手順に従って ツールをインストールし、ログを設定します。
• 監視ツール Prometheus を使用するには、手順に従って Kubernetes クラスターに Prometheus をインストールします。

注意

コントロール プレーン ノードのログは、 /var/log/pods にあります。

その他のリソース

• 保存時の秘密データを暗号化する
• データ暗号化に KMS プロバイダーを使用する

次のステップ

この攻略ガイドでは、管理およびワークロード クラスターの etcd シークレットの暗号化を監視してトラブルシューティングにする方法について学習しました。 次に、以下を実行できます。

• Kubernetes クラスターに Linux アプリケーションをデプロイする
• Kubernetes クラスターに Windows Server アプリケーションをデプロイする