Versleuteling op basis van host op Azure Kubernetes Service (AKS)

Met versleuteling op basis van een host worden de gegevens die zijn opgeslagen op de VM-host van de VM's van uw AKS-agentknooppunten at rest versleuteld en stromen versleuteld naar de Storage-service. Dit betekent dat de tijdelijke schijven at rest worden versleuteld met door het platform beheerde sleutels. De cache van besturingssysteem- en gegevensschijven wordt at-rest versleuteld met door het platform beheerde sleutels of door de klant beheerde sleutels, afhankelijk van het versleutelingstype dat op deze schijven is ingesteld.

Wanneer u AKS gebruikt, gebruiken besturingssysteem- en gegevensschijven standaard versleuteling aan de serverzijde met door het platform beheerde sleutels. De caches voor deze schijven zijn versleuteld at rest met door het platform beheerde sleutels. U kunt uw eigen beheerde sleutels opgeven na Byok (Bring Your Own Keys) met Azure-schijven in Azure Kubernetes Service. De caches voor deze schijven worden ook versleuteld met behulp van de sleutel die u opgeeft.

Versleuteling op basis van een host verschilt van versleuteling aan de serverzijde (SSE), die wordt gebruikt door Azure Storage. Door Azure beheerde schijven gebruiken Azure Storage om data-at-rest automatisch te versleutelen bij het opslaan van gegevens. Versleuteling op basis van een host maakt gebruik van de host van de VM om versleuteling af te handelen voordat de gegevens door Azure Storage stromen.

Voordat u begint

Bekijk de volgende vereisten en beperkingen voordat u begint.

Vereisten

• Zorg ervoor dat u de CLI-extensie v2.23 of hoger hebt geïnstalleerd.

Beperkingen

• Deze functie kan alleen worden ingesteld tijdens het maken van een cluster of knooppuntgroep.
• Deze functie kan alleen worden ingeschakeld in Azure-regio's die ondersteuning bieden voor versleuteling aan de serverzijde van beheerde Azure-schijven en alleen met specifieke ondersteunde VM-grootten.
• Voor deze functie is een AKS-cluster en knooppuntgroep vereist op basis van Virtual Machine Scale Sets als type VM-set.

Versleuteling op basis van een host gebruiken voor nieuwe clusters

• Maak een nieuw cluster en configureer de clusteragentknooppunten voor het gebruik van op host gebaseerde versleuteling met behulp van de az aks create opdracht met de --enable-encryption-at-host vlag.

  az aks create --name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 -l westus2 --enable-encryption-at-host
  

Versleuteling op basis van een host gebruiken op bestaande clusters

• Schakel versleuteling op basis van een host in op een bestaand cluster door een nieuwe knooppuntgroep toe te voegen met behulp van de az aks nodepool add opdracht met de --enable-encryption-at-host vlag.

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

Volgende stappen

• Bekijk de best practices voor AKS-clusterbeveiliging.
• Meer informatie over op host gebaseerde versleuteling.