Предварительные требования для автономной установки AKS Edge Essentials
AKS Edge Essentials в основном предназначен для установки на компьютере, подключенном к Интернету, так как многие компоненты регулярно обновляются. Однако с помощью некоторых дополнительных действий можно развернуть AKS Edge Essentials в автономной среде.
В следующей статье описывается необходимая конфигурация, необходимая для автономной установки AKS Edge Essentials.
- Сертификаты Windows
- Проверки в Интернете
- Лицензирование
Сертификаты Windows
Программа установки AKS Edge Essentials устанавливает только содержимое, которое является доверенным. Он проверяет доверие, проверяя подписи Authenticode загружаемого содержимого и проверяя, что все содержимое является доверенным перед установкой. Кроме того, модуль PowerShell AKSEdge.psm1 и командлеты, используемые для развертывания кластера, подписываются и проверяются. Это позволяет обезопасить среду от атак, направленных на расположение загрузки.
Поэтому для установки AKS Edge Essentials требуется, чтобы на компьютере пользователя было установлено и обновлено несколько стандартных корневых и промежуточных сертификатов Майкрософт. Если компьютер обновлялся с помощью Центра обновления Windows, сертификаты для подписи обычно актуальны. Если компьютер не подключен к сети, сертификаты следует обновить иным способом.
Чтобы проверить установку системы, можно выполнить следующие действия.
Откройте сеанс PowerShell с повышенными привилегиями.
Проверьте наличие корневого центра сертификации Майкрософт 2011 , выполнив следующую команду:
Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
Если на этом компьютере установлен корневой центр сертификации Майкрософт 2011 , вы увидите следующие выходные данные:
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root Thumbprint Subject ---------- ------- 8F43288AD272F3103B6FB1428485EA3014C0BCFE CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
Проверьте наличие подписывания кода Microsoft PCA 2011 , выполнив следующую команду:
Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
Если на этом компьютере установлена версия PCA 2011 для подписи кода (Майкрософт ), вы увидите следующие выходные данные:
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA Thumbprint Subject ---------- ------- F252E794FE438E35ACE6E53762C0A234A2C52135 CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
Если промежуточный сертификат подписи Microsoft Code PCA 2011 находился только в хранилище промежуточных сертификатов текущего пользователя , он будет доступен только пользователю, выполнившего вход. Его может потребоваться установить для других пользователей.
Установка или обновление сертификатов в автономном режиме
Существует два варианта установки или обновления сертификатов в автономной среде.
Вариант 1. Установка сертификатов вручную или в рамках развертывания с помощью скрипта
Если вы выполняете развертывание AKS Edge Essentials в автономной среде на клиентских рабочих станциях, выполните следующие действия.
Откройте сеанс PowerShell с повышенными привилегиями.
Скачайте необходимые сертификаты:
Вручную выполните следующие команды или добавьте их в сценарий установки AKS Edge Essentials:
certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer" certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
Чтобы проверка, правильно ли установлены сертификаты, используйте команды PowerShell, указанные в разделе Сертификаты Windows.
Вариант 2. Распространение доверенных корневых сертификатов в корпоративной среде
Для предприятий с автономными компьютерами, у которых нет последних корневых сертификатов, администратор может воспользоваться инструкциями в разделе Настройка доверенных корней и запрещенных сертификатов , чтобы обновить их.
Проверки в Интернете
Во время развертывания кластера AKS Edge Essentials сценарий развертывания PowerShell проверяет подключение к Интернету. Эти проверки предназначены для того, чтобы убедиться, что DNS-серверы работают, кластер может подключаться к Интернету и что подключение Arc может быть установлено, если это нужно пользователю. Однако при автономной установке эти проверки не требуются, и их следует избегать.
Во время создания JSON-файла развертывания убедитесь, что параметр в разделе помечается InternetDisabled
Networking
как true.
Настройка сетевых адаптеров
Во время развертывания AKS Edge Essentials требуется адаптер, который включен и имеет правильный IP-адрес, подсеть и свойства шлюза по умолчанию. Эти значения автоматически заполняются в среде DHCP. Если вы настраиваете вручную, убедитесь, что все три свойства заданы, прежде чем приступать к развертыванию.
Лицензирование
Вы можете лицензировать автономные развертывания AKS Edge Essentials для коммерческого использования с помощью модели корпоративного лицензирования. AKS Edge Essentials лицензируется и предоставляется по цене как модель для каждого устройства в месяц. Каждая лицензированная единица применяется к устройству в кластере. Дополнительные сведения о лицензировании см. в разделе AKS Edge Essentials — Лицензирование.
Дальнейшие действия
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по