Шифрование по узлам в Службе Azure Kubernetes (AKS)

Статья
07/17/2023

При шифровании по узлам данные, хранящиеся на виртуальной машине, располагающейся на узле агента AKS, шифруются в состоянии хранения и передаются в зашифрованном виде в службу хранилища. Это означает, что временные диски шифруются в состоянии хранения с использованием ключей с управлением на уровне платформы. Кэш ОС и диски данных шифруются в состоянии хранения с использованием ключей с управлением на уровне платформы или ключей с управлением на уровне клиента в зависимости от типа шифрования, заданного для этих дисков.

По умолчанию при использовании AKS ОС и диски данных шифруются на стороне сервера с использованием ключей, управляемых платформой. Кэши для этих дисков шифруются при хранении с помощью ключей, управляемых платформой. Можно задать свои собственные управляемые ключи, следуя инструкциям в статье Использование собственных ключей (BYOK) для дисков Azure в службе Azure Kubernetes. Кэши для этих дисков также шифруются с помощью указанного ключа.

Шифрование на основе узла отличается от шифрования на стороне сервера (SSE), которое использует служба хранилища Azure. Диски, управляемые Azure, используют функции службы хранилища Azure для автоматического шифрования неактивных данных при их сохранении. При шифровании на основе узла для шифрования данных перед их передачей через службу хранилища Azure используется узел виртуальной машины.

Подготовка к работе

Перед началом работы ознакомьтесь со следующими предварительными условиями и ограничениями.

Предварительные требования

Убедитесь, что у вас установлено расширение CLI версии 2.23 или более поздней версии.

Ограничения

Эту функцию можно задать только во время создания кластера или пула узлов.
Эту функцию можно включить только в регионах Azure , которые поддерживают шифрование управляемых дисков Azure на стороне сервера и только с определенными поддерживаемыми размерами виртуальных машин.
Для этой функции требуется кластер AKS и пул узлов на основе Масштабируемые наборы виртуальных машин в качестве типа набора виртуальных машин.

Использование шифрования по узлам в новых кластерах

Создайте новый кластер и настройте узлы агента кластера для использования шифрования на основе узла с помощью az aks create команды с флагом --enable-encryption-at-host .
```
az aks create --name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 -l westus2 --enable-encryption-at-host
```

Использование шифрования по узлам в существующих кластерах

Включите шифрование на основе узла в существующем кластере, добавив новый пул узлов с помощью az aks nodepool add команды с флагом --enable-encryption-at-host .
```
az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
```

Дальнейшие действия

Ознакомьтесь с рекомендациями по обеспечению безопасности кластера AKS.
См. дополнительные сведения о шифровании на основе узла.