Värdbaserad kryptering på Azure Kubernetes Service (AKS)
Med värdbaserad kryptering krypteras de data som lagras på VM-värden för aks-agentnodernas virtuella datorer i vila och flöden krypteras till lagringstjänsten. Det innebär att temporära diskar krypteras i vila med plattformshanterade nycklar. Cacheminnet för OS- och datadiskar krypteras i vila med antingen plattformshanterade nycklar eller kundhanterade nycklar beroende på vilken krypteringstyp som angetts på dessa diskar.
När du använder AKS använder operativsystem och datadiskar som standard kryptering på serversidan med plattformshanterade nycklar. Cacheminnena för dessa diskar krypteras i vila med plattformshanterade nycklar. Du kan ange dina egna hanterade nycklar genom att följa BYOK (Bring Your Own Keys) med Azure-diskar i Azure Kubernetes Service. Cacheminnena för dessa diskar krypteras också med den nyckel som du anger.
Värdbaserad kryptering skiljer sig från kryptering på serversidan (SSE), som används av Azure Storage. Azure-hanterade diskar använder Azure Storage för att automatiskt kryptera vilande data när data sparas. Värdbaserad kryptering använder den virtuella datorns värd för att hantera kryptering innan data flödar via Azure Storage.
Innan du börjar
Innan du börjar bör du granska följande krav och begränsningar.
Förutsättningar
- Kontrollera att CLI-tillägget v2.23 eller senare är installerat.
Begränsningar
- Den här funktionen kan bara ställas in när kluster- eller nodpoolen skapas.
- Den här funktionen kan endast aktiveras i Azure-regioner som stöder kryptering på serversidan av Azure-hanterade diskar och endast med specifika VM-storlekar som stöds.
- Den här funktionen kräver ett AKS-kluster och en nodpool baserat på Virtual Machine Scale Sets som typ av VM-uppsättning.
Använda värdbaserad kryptering på nya kluster
Skapa ett nytt kluster och konfigurera klusteragentnoderna så att de använder värdbaserad kryptering med kommandot
az aks createmed--enable-encryption-at-hostflaggan .az aks create \ --name myAKSCluster \ --resource-group myResourceGroup \ --storage-pool-sku Standard_DS2_v2 \ --location westus2 \ --enable-encryption-at-host \ --generate-ssh-keys
Använda värdbaserad kryptering på befintliga kluster
Aktivera värdbaserad kryptering på ett befintligt kluster genom att lägga till en ny nodpool med kommandot
az aks nodepool addmed--enable-encryption-at-hostflaggan .az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
Nästa steg
- Gå igenom metodtipsen för säkerhet i AKS-kluster.
- Läs mer om värdbaserad kryptering.
Azure Kubernetes Service
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för