Dela via

Krav för offlineinstallation av AKS Edge Essentials

  • Artikel

AKS Edge Essentials är främst utformat för att installeras på en Internetansluten dator, eftersom många komponenter uppdateras regelbundet. Men med några extra steg är det möjligt att distribuera AKS Edge Essentials i en offlinemiljö.

I följande artikel beskrivs den konfiguration som krävs för en offlineinstallation av AKS Edge Essentials:

  • Windows-certifikat
  • Internetkontroller
  • Licensiering

Windows-certifikat

Konfigurationen av AKS Edge Essentials installerar endast innehåll som är betrott. Det verifierar det förtroendet genom att kontrollera Authenticode-signaturer för innehållet som laddas ned och verifiera att allt innehåll är betrott innan du installerar det. Dessutom signeras och verifieras AKSEdge.psm1 PowerShell-modulen och cmdletar som används för att distribuera klustret. Detta skyddar din miljö från attacker där nedladdningsplatsen komprometteras.

Därför kräver INSTALLATION av AKS Edge Essentials att flera standardcertifikat för Microsofts rotcertifikat och mellanliggande certifikat är installerade och uppdaterade på en användares dator. Om datorn har hållits uppdaterad med Windows Update är signeringscertifikat vanligtvis uppdaterade. Om datorn är offline måste certifikaten uppdateras på ett annat sätt.

Ett sätt att kontrollera installationssystemet är att följa dessa steg:

  1. Öppna en upphöjd PowerShell-session.

  2. Sök efter Microsoft Root Certificate Authority 2011 genom att köra följande kommando:

    Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}

    Om Microsoft Root Certificate Authority 2011 är installerat på den här datorn bör du se följande utdata:

    PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root

Thumbprint                                Subject
----------                                -------
8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...

  3. Sök efter Microsoft Code Signing PCA 2011 genom att köra följande kommando:

    Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}

    Om Microsoft Code Signing PCA 2011 är installerat på den här datorn bör du se följande utdata:

    PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA

Thumbprint                                Subject
----------                                -------
F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...

Om det mellanliggande certifikatet för Microsoft Code Signing PCA 2011 bara fanns i det mellanliggande certifikatarkivet för aktuell användare är det endast tillgängligt för den användare som är inloggad. Du kan behöva installera det för andra användare.

Installera eller uppdatera certifikat när du är offline

Det finns två alternativ för att installera eller uppdatera certifikat i en offlinemiljö.

Alternativ 1: Installera certifikat manuellt eller som en del av en skriptad distribution

Om du skriptar distributionen av AKS Edge Essentials i en offlinemiljö till klientarbetsstationer följer du dessa steg:

  1. Öppna en upphöjd PowerShell-session.

  2. Ladda ned nödvändiga certifikat:

    1. MicrosoftRootCertificateAuthority2011.cer
    2. MicCodSigPCA2011.crt

  3. Kör följande kommandon manuellt eller lägg till dem i installationsskriptet för AKS Edge Essentials:

    certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"

certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"

  4. Om du vill kontrollera om certifikaten har installerats korrekt använder du PowerShell-kommandona i avsnittet Windows-certifikat .

Alternativ 2: Distribuera betrodda rotcertifikat i en företagsmiljö

För företag med offlinedatorer som inte har de senaste rotcertifikaten kan en administratör använda anvisningarna i Konfigurera betrodda rötter och otillåtna certifikat för att uppdatera dem.

Internetkontroller

Under distributionen av ett AKS Edge Essentials-kluster söker PowerShell-distributionsskriptet efter Internetanslutning. Dessa kontroller är för att se till att DNS-servrar fungerar, klustret kan ansluta till Internet och att en Arc-anslutning kan upprättas om användaren vill detta. När du utför offlineinstallationer krävs dock inte dessa kontroller och bör undvikas.

När du skapar JSON-distributionsfilen ser du till att du markerar parametern InternetDisabledNetworking i avsnittet som true.

Konfigurera nätverksadapter

Under distributionen behöver AKS Edge Essentials ett nätverkskort som är aktiverat och har rätt EGENSKAPER för IP-adress, undernät och standardgateway. Dessa värden fylls i automatiskt i en DHCP-miljö. Om du ställer in manuellt kontrollerar du att alla tre egenskaperna har angetts innan du påbörjar distributionen.

Licensiering

Du kan licensiera OFFLINEdistributioner av AKS Edge Essentials för kommersiell användning med hjälp av volymlicensieringsmodellen. AKS Edge Essentials licensieras och prissätts som en modell per enhet och månad. Varje licensierad enhet tillämpas på en enhet i klustret. Mer licensieringsinformation finns i AKS Edge Essentials – Licensiering.

Nästa steg