Azure Kubernetes Service (AKS) クラスターにおける Key Management Service (KMS) の etcd 暗号化 (レガシー) の可観測性

この記事では、KMS etcd 暗号化を使用して、可観測性メトリックを表示し、AKS クラスターの可観測性を向上させる方法について説明します。

[前提条件]

• KMS etcd 暗号化が有効になっている AKS クラスター。 詳細については、「 Azure Kubernetes Service (AKS) クラスターへのキー管理サービス (KMS) etcd 暗号化の追加」を参照してください。
• 暗号化ログを確認するには、キー コンテナーの診断設定を有効にする必要があります。

KMS 構成を確認する

Azure CLI

• az aks show コマンドを使用して KMS 構成を取得します。

  az aks show --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --query "securityProfile.azureKeyVaultKms"
  

  出力は次の出力例のようになります。

  ...
  "securityProfile": {
    "azureKeyVaultKms": {
      "enabled": true,
      "keyId": "https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-id>",
      "keyVaultNetworkAccess": "Public",
      "keyVaultResourceId": <key-vault-resource-id>
  ...
  

Azure Portal

1. Azure portal で、ご使用の AKS クラスター リソースに移動します。

2. サービス メニューから、[問題の 診断と解決] を選択します。

3. 検索バーで KMS を検索し、 Azure KeyVault KMS 統合の問題を選択します。

   クラスターが Azure KeyVault KMS 統合セクションを使用するように構成されている場合は、次のスクリーンショットに示すように、KMS が有効かどうかとキー ID を確認できます。

   

   キー ボールトの詳細については、キー ボールト リソースに移動できます。

問題の診断と解決

KMS プラグインは kube-apiserver ポッドのサイドカーであるため、直接アクセスすることはできません。 KMS の可観測性を向上させるために、Azure portal を使用して KMS の状態を確認できます。

1. Azure portal で自分の AKS クラスターに移動します。
2. サービス メニューから、[問題の 診断と解決] を選択します。
3. 検索バーで KMS を検索し、 Azure KeyVault KMS 統合の問題を選択します。

問題の例

次の問題が表示されたとします: KeyExpired: Operation encrypt isn't allowed on an expired key。

AKS KMS プラグインは現在、Bring Your Own (BYO) キー コンテナーとキーのみを許可しているため、キーのライフサイクルを管理するのはユーザーの責任です。 キーの有効期限が切れている場合、KMS プラグインは既存のシークレットの暗号化を解除できません。 この問題を解決するには、キー の有効期限を延長 して KMS を機能させ、 キーのバージョンをローテーションする必要があります。

次のステップ

AKS での KMS の使用の詳細については、次の記事を参照してください。

• AKS のデータ静止時の暗号化概念
• AKS で KMS データ暗号化を有効にする
• KMS etcd 暗号化を使用して Azure Kubernetes Service (AKS) クラスターのキー コンテナー モードを更新する
• Azure Kubernetes Service (AKS) での etcd 暗号化のために KMS v2 に移行する