Поделиться через

Предварительные требования для автономной установки AKS Edge Essentials

  • Статья

AKS Edge Essentials в основном предназначен для установки на компьютере, подключенном к Интернету, так как многие компоненты регулярно обновляются. Однако с помощью некоторых дополнительных действий можно развернуть AKS Edge Essentials в автономной среде.

В следующей статье описывается необходимая конфигурация, необходимая для автономной установки AKS Edge Essentials.

  • Сертификаты Windows
  • Проверки в Интернете
  • Лицензирование

Сертификаты Windows

Программа установки AKS Edge Essentials устанавливает только содержимое, которое является доверенным. Он проверяет доверие, проверяя подписи Authenticode загружаемого содержимого и проверяя, что все содержимое является доверенным перед установкой. Кроме того, модуль PowerShell AKSEdge.psm1 и командлеты, используемые для развертывания кластера, подписываются и проверяются. Это позволяет обезопасить среду от атак, направленных на расположение загрузки.

Поэтому для установки AKS Edge Essentials требуется, чтобы на компьютере пользователя было установлено и обновлено несколько стандартных корневых и промежуточных сертификатов Майкрософт. Если компьютер обновлялся с помощью Центра обновления Windows, сертификаты для подписи обычно актуальны. Если компьютер не подключен к сети, сертификаты следует обновить иным способом.

Чтобы проверить установку системы, можно выполнить следующие действия.

  1. Откройте сеанс PowerShell с повышенными привилегиями.

  2. Проверьте наличие корневого центра сертификации Майкрософт 2011 , выполнив следующую команду:

    Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}

    Если на этом компьютере установлен корневой центр сертификации Майкрософт 2011 , вы увидите следующие выходные данные:

    PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root

Thumbprint                                Subject
----------                                -------
8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...

  3. Проверьте наличие подписывания кода Microsoft PCA 2011 , выполнив следующую команду:

    Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}

    Если на этом компьютере установлена версия PCA 2011 для подписи кода (Майкрософт ), вы увидите следующие выходные данные:

    PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA

Thumbprint                                Subject
----------                                -------
F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...

Если промежуточный сертификат подписи Microsoft Code PCA 2011 находился только в хранилище промежуточных сертификатов текущего пользователя , он будет доступен только пользователю, выполнившего вход. Его может потребоваться установить для других пользователей.

Установка или обновление сертификатов в автономном режиме

Существует два варианта установки или обновления сертификатов в автономной среде.

Вариант 1. Установка сертификатов вручную или в рамках развертывания с помощью скрипта

Если вы выполняете развертывание AKS Edge Essentials в автономной среде на клиентских рабочих станциях, выполните следующие действия.

  1. Откройте сеанс PowerShell с повышенными привилегиями.

  2. Скачайте необходимые сертификаты:

    1. MicrosoftRootCertificateAuthority2011.cer
    2. MicCodSigPCA2011.crt

  3. Вручную выполните следующие команды или добавьте их в сценарий установки AKS Edge Essentials:

    certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"

certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"

  4. Чтобы проверка, правильно ли установлены сертификаты, используйте команды PowerShell, указанные в разделе Сертификаты Windows.

Вариант 2. Распространение доверенных корневых сертификатов в корпоративной среде

Для предприятий с автономными компьютерами, у которых нет последних корневых сертификатов, администратор может воспользоваться инструкциями в разделе Настройка доверенных корней и запрещенных сертификатов , чтобы обновить их.

Проверки в Интернете

Во время развертывания кластера AKS Edge Essentials сценарий развертывания PowerShell проверяет подключение к Интернету. Эти проверки предназначены для того, чтобы убедиться, что DNS-серверы работают, кластер может подключаться к Интернету и что подключение Arc может быть установлено, если это нужно пользователю. Однако при автономной установке эти проверки не требуются, и их следует избегать.

Во время создания JSON-файла развертывания убедитесь, что параметр в разделе помечается InternetDisabledNetworking как true.

Настройка сетевых адаптеров

Во время развертывания AKS Edge Essentials требуется адаптер, который включен и имеет правильный IP-адрес, подсеть и свойства шлюза по умолчанию. Эти значения автоматически заполняются в среде DHCP. Если вы настраиваете вручную, убедитесь, что все три свойства заданы, прежде чем приступать к развертыванию.

Лицензирование

Вы можете лицензировать автономные развертывания AKS Edge Essentials для коммерческого использования с помощью модели корпоративного лицензирования. AKS Edge Essentials лицензируется и предоставляется по цене как модель для каждого устройства в месяц. Каждая лицензированная единица применяется к устройству в кластере. Дополнительные сведения о лицензировании см. в разделе AKS Edge Essentials — Лицензирование.

Дальнейшие действия