Szyfrowanie oparte na hoście na Azure Kubernetes Service (AKS)
Dzięki szyfrowaniu opartemu na hoście dane przechowywane na hoście maszyny wirtualnej maszyn wirtualnych węzłów agenta usługi AKS są szyfrowane podczas magazynowania i przepływy szyfrowane w usłudze Storage. Oznacza to, że dyski tymczasowe są szyfrowane podczas magazynowania przy użyciu kluczy zarządzanych przez platformę. Pamięć podręczna dysków systemu operacyjnego i danych jest szyfrowana w spoczynku przy użyciu kluczy zarządzanych przez platformę lub kluczy zarządzanych przez klienta w zależności od typu szyfrowania ustawionego na tych dyskach.
Domyślnie w przypadku korzystania z usługi AKS system operacyjny i dyski danych używają szyfrowania po stronie serwera z kluczami zarządzanymi przez platformę. Pamięci podręczne dla tych dysków są szyfrowane podczas magazynowania przy użyciu kluczy zarządzanych przez platformę. Możesz określić własne klucze zarządzane zgodnie z instrukcjami Bring your own keys (BYOK) z dyskami platformy Azure w Azure Kubernetes Service. Pamięci podręczne dla tych dysków są również szyfrowane przy użyciu określonego klucza.
Szyfrowanie oparte na hoście różni się od szyfrowania po stronie serwera (SSE), które jest używane przez usługę Azure Storage. Dyski zarządzane platformy Azure używają usługi Azure Storage do automatycznego szyfrowania danych magazynowanych podczas zapisywania danych. Szyfrowanie oparte na hoście używa hosta maszyny wirtualnej do obsługi szyfrowania przed przepływem danych za pośrednictwem usługi Azure Storage.
Zanim rozpoczniesz
Przed rozpoczęciem zapoznaj się z następującymi wymaganiami wstępnymi i ograniczeniami.
Wymagania wstępne
- Upewnij się, że masz zainstalowane rozszerzenie interfejsu wiersza polecenia w wersji 2.23 lub nowszej.
Ograniczenia
- Tę funkcję można ustawić tylko w czasie tworzenia klastra lub puli węzłów.
- Tę funkcję można włączyć tylko w regionach świadczenia usługi Azure , które obsługują szyfrowanie dysków zarządzanych platformy Azure po stronie serwera i tylko w przypadku określonych obsługiwanych rozmiarów maszyn wirtualnych.
- Ta funkcja wymaga klastra usługi AKS i puli węzłów na podstawie Virtual Machine Scale Sets jako typu zestawu maszyn wirtualnych.
Używanie szyfrowania opartego na hoście w nowych klastrach
Utwórz nowy klaster i skonfiguruj węzły agenta klastra do używania szyfrowania opartego na hoście przy użyciu
az aks create
polecenia z flagą--enable-encryption-at-host
.az aks create \ --name myAKSCluster \ --resource-group myResourceGroup \ --storage-pool-sku Standard_DS2_v2 \ --location westus2 \ --enable-encryption-at-host \ --generate-ssh-keys
Używanie szyfrowania opartego na hoście w istniejących klastrach
Włącz szyfrowanie oparte na hoście w istniejącym klastrze, dodając nową pulę węzłów przy użyciu
az aks nodepool add
polecenia z flagą--enable-encryption-at-host
.az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
Następne kroki
- Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń klastra usługi AKS.
- Przeczytaj więcej na temat szyfrowania opartego na hoście.
Azure Kubernetes Service
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla