AKS(Azure Kubernetes Service)에서 호스트 기반 암호화

호스트 기반 암호화를 통해, AKS 에이전트 노드 VM의 VM 호스트에 저장된 데이터는 미사용 암호화되고 스토리지 서비스로 암호화되어 흐릅니다. 즉, 임시 디스크는 플랫폼 관리형 키를 사용하여 미사용 암호화됩니다. OS 및 데이터 디스크의 캐시는 해당 디스크에 설정된 암호화 유형에 따라 플랫폼 관리형 키 또는 고객 관리형 키를 사용하여 미사용 암호화됩니다.

기본적으로 AKS를 사용하는 경우 OS 및 데이터 디스크에서 플랫폼 관리형 키를 사용하는 서버 쪽 암호화를 사용합니다. 이러한 디스크의 캐시는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. Azure Kubernetes Service에서 Azure 디스크를 사용하여 BYOK(Bring your own key)에 따라 고유한 관리형 키를 지정할 수 있습니다. 이러한 디스크의 캐시는 지정한 키를 사용하여 암호화됩니다.

호스트 기반 암호화는 Azure Storage에서 사용되는 SSE(서버 쪽 암호화)와 다릅니다. Azure 관리 디스크는 Azure Storage를 사용하여 데이터를 저장할 때 미사용 데이터를 자동으로 암호화합니다. 호스트 기반 암호화는 VM의 호스트를 사용하여 데이터가 Azure Storage를 통과하기 전에 암호화를 처리합니다.

시작하기 전에

시작하기 전에 다음 필수 구성 요소 및 제한 사항을 검토합니다.

사전 요구 사항

  • CLI 확장 v2.23 이상이 설치되어 있는지 확인합니다.

제한 사항

  • 해당 기능은 클러스터 또는 노드 풀을 만들 때만 설정할 수 있습니다.
  • 이 기능은 Azure 관리 디스크의 서버 쪽 암호화를 지원하는 Azure 지역에서 만 사용하도록 설정할 수 있으며 지원되는 특정 VM 크기에서만 사용할 수 있습니다.
  • 이 기능을 사용하려면 VM 집합 형식으로 Virtual Machine Scale Sets 기반으로 하는 AKS 클러스터 및 노드 풀이 필요합니다.

새 클러스터에서 호스트 기반 암호화 사용

  • 새 클러스터를 만들고 플래그가 있는 명령을 사용하여 호스트 기반 암호화를 사용하도록 클러스터 에이전트 노드를 az aks create--enable-encryption-at-host 구성합니다.

    az aks create --name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 -l westus2 --enable-encryption-at-host
    

기존 클러스터에서 호스트 기반 암호화 사용

  • 플래그가 있는 명령을 사용하여 새 노드 풀을 추가하여 기존 클러스터에서 az aks nodepool add 호스트 기반 암호화를 --enable-encryption-at-host 사용하도록 설정합니다.

    az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
    

다음 단계