Migreren naar KMS (Key Management Service) v2 in Azure Kubernetes Service (AKS) (verouderd)

Belangrijk

Dit artikel is van toepassing op clusters die gebruikmaken van de verouderde KMS-ervaring die moeten worden gemigreerd van KMS v1 naar KMS v2. Voor clusters met Kubernetes versie 1.33 of hoger raden we u aan de nieuwe ervaring voor KMS-gegevensversleuteling te gebruiken, die door het platform beheerde sleutels, door de klant beheerde sleutels met automatische sleutelrotatie en een vereenvoudigde configuratie-ervaring biedt.

In dit artikel leert u hoe u migreert naar KMS v2 voor clusters met oudere versies dan 1.27. Vanaf AKS versie 1.27 configureert het inschakelen van de KMS-functie KMS v2. Met KMS v2 bent u niet beperkt tot de 2000 geheimen die in eerdere versies worden ondersteund. Zie KMS v2-verbeteringen voor meer informatie.

Belangrijk

Als uw clusterversie ouder is dan 1.27 en u KMS al hebt ingeschakeld, wordt de upgrade naar clusterversie 1.27 of hoger geblokkeerd.

KMS uitschakelen

1. Schakel KMS uit op een bestaand cluster met behulp van de az aks update opdracht met de --disable-azure-keyvault-kms parameter.

   az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --disable-azure-keyvault-kms
   

2. Werk alle geheimen bij met behulp van de kubectl get secrets opdracht om ervoor te zorgen dat de eerder gemaakte geheimen niet meer worden versleuteld. Voor grotere clusters wilt u de geheimen mogelijk onderverdelen op naamruimte of een updatescript maken. Als de vorige opdracht voor het bijwerken van KMS mislukt, voert u nog steeds de volgende opdracht uit om onverwachte status voor de KMS-invoegtoepassing te voorkomen.

   kubectl get secrets --all-namespaces -o json | kubectl replace -f -
   

   Wanneer u de opdracht uitvoert, is de volgende fout veilig te negeren:

   The object has been modified; please apply your changes to the latest version and try again.
   

Uw AKS-cluster upgraden en KMS inschakelen

1. Werk uw AKS-cluster bij naar versie 1.27 of hoger met behulp van de az aks upgrade opdracht met de --kubernetes-version parameter die is ingesteld op de gewenste versie. In het volgende voorbeeld wordt een upgrade uitgevoerd naar versie 1.27.1:

   az aks upgrade --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --kubernetes-version 1.27.1
   

2. Zodra de upgrade is voltooid, kunt u KMS inschakelen voor een openbare of persoonlijke sleutelkluis met behulp van een van de volgende resources:

   • Een openbare sleutelkluis en KMS inschakelen op een bestaand AKS-cluster
   • Een bestaand AKS-cluster bijwerken om KMS etcd-versleuteling in te schakelen voor een persoonlijke sleutelkluis

3. Werk alle geheimen bij met behulp van de kubectl get secrets opdracht om ervoor te zorgen dat de eerder gemaakte geheimen niet meer worden versleuteld. Voor grotere clusters wilt u de geheimen mogelijk onderverdelen op naamruimte of een updatescript maken. Als de vorige opdracht voor het bijwerken van KMS mislukt, voert u nog steeds de volgende opdracht uit om onverwachte status voor de KMS-invoegtoepassing te voorkomen.

   kubectl get secrets --all-namespaces -o json | kubectl replace -f -
   

   Wanneer u de opdracht uitvoert, is de volgende fout veilig te negeren:

   The object has been modified; please apply your changes to the latest version and try again.
   

Volgende stappen

Zie de volgende artikelen voor meer informatie over het gebruik van KMS met AKS:

• De sleutelkluismodus voor een AKS-cluster (Azure Kubernetes Service) bijwerken met KMS etcd-versleuteling
• Waarneembaarheid voor KMS etcd-versleuteling in Azure Kubernetes Service (AKS)