Waarneembaarheid voor AKS-clusters (Azure Kubernetes Service) met KMS-versleuteling (key management service) enzovoort (verouderd)

In dit artikel leest u hoe u metrische gegevens over waarneembaarheid kunt bekijken en de waarneembaarheid voor AKS-clusters kunt verbeteren met KMS etcd-versleuteling.

Vereiste voorwaarden

• Een AKS-cluster waarvoor KMS etcd-versleuteling is ingeschakeld. Zie Key Management Service (KMS) etcd-versleuteling toevoegen aan een AKS-cluster (Azure Kubernetes Service) voor meer informatie.
• U moet diagnostische instellingen voor de sleutelkluis inschakelen om de versleutelingslogboeken te controleren.

De KMS-configuratie controleren

Azure-CLI

• Haal de KMS-configuratie op met behulp van de az aks show opdracht.

  az aks show --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --query "securityProfile.azureKeyVaultKms"
  

  De uitvoer ziet er ongeveer als volgt uit:

  ...
  "securityProfile": {
    "azureKeyVaultKms": {
      "enabled": true,
      "keyId": "https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-id>",
      "keyVaultNetworkAccess": "Public",
      "keyVaultResourceId": <key-vault-resource-id>
  ...
  

Azure-portal

1. Navigeer in Azure Portal naar uw AKS-clusterresource.

2. Selecteer in het servicemenu de optie Problemen diagnosticeren en oplossen.

3. Zoek in de zoekbalk naar KMS en selecteer Azure KeyVault KMS-integratieproblemen.

   In de Cluster is geconfigureerd om Azure KeyVault KMS-integratie te gebruiken sectie, kunt u zien of KMS is ingeschakeld en de sleutel-ID, zoals wordt weergegeven in de volgende screenshot.

   

   Voor meer informatie over uw sleutelkluis kunt u naar de sleutelkluisresource navigeren.

Problemen diagnosticeren en oplossen

Omdat de KMS-invoegtoepassing een sidecar van de kube-apiserver pod is, kunt u er niet direct bij. Als u de waarneembaarheid van KMS wilt verbeteren, kunt u de KMS-status controleren met behulp van Azure Portal.

1. Navigeer in Azure Portal naar uw AKS-cluster.
2. Selecteer in het servicemenu de optie Problemen diagnosticeren en oplossen.
3. Zoek in de zoekbalk naar KMS en selecteer Azure KeyVault KMS-integratieproblemen.

Voorbeeldprobleem

Stel dat u het volgende probleem ziet: KeyExpired: Operation encrypt isn't allowed on an expired key.

Omdat de AKS KMS-invoegtoepassing momenteel alleen bring your own (BYO) sleutelkluis en sleutel toestaat, is het uw verantwoordelijkheid om de levenscyclus van de sleutel te beheren. Als de sleutel is verlopen, kan de KMS-invoegtoepassing de bestaande geheimen niet ontsleutelen. U kunt dit probleem oplossen door de vervaldatum van de sleutel uit te breiden om KMS te laten werken en de sleutelversie te draaien.

Volgende stappen

Zie de volgende artikelen voor meer informatie over het gebruik van KMS met AKS:

• Concepten voor data-encryptie in rusttoestand voor AKS
• KMS-gegevensversleuteling inschakelen in AKS
• De sleutelkluismodus voor een AKS-cluster (Azure Kubernetes Service) bijwerken met KMS etcd-versleuteling
• Migreren naar KMS v2 voor etcd-versleuteling in Azure Kubernetes Service (AKS)