Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Sunucu tabanlı şifreleme ile, AKS aracı düğümlerinizin VM konakları üzerinde depolanan veriler bekleme sırasında şifrelenir ve Depolama hizmetine şifreli olarak akar. Bu, geçici disklerin platform tarafından yönetilen anahtarlarla beklemede şifrelendiği anlamına gelir. İşletim sistemi ve veri disklerinin önbelleği, bu disklerde ayarlanan şifreleme türüne bağlı olarak, platform tarafından yönetilen anahtarlarla veya müşteri tarafından yönetilen anahtarlarla beklemedeyken şifrelenir.
Varsayılan olarak, AKS kullanılırken işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlarla sunucu tarafı şifreleme kullanır. Bu disklerin önbellekleri, platform tarafından yönetilen anahtarlarla beklemede şifrelenir. Azure Kubernetes Service'te Azure diskleri ile Kendi Anahtarlarınızı Getirin (BYOK) seçeneği kapsamında, kendi yönetilen anahtarlarınızı belirleyebilirsiniz. Bu disklerin önbellekleri de belirttiğiniz anahtar kullanılarak şifrelenir.
Konak tabanlı şifreleme, Azure Depolama tarafından kullanılan sunucu tarafı şifrelemesinden (SSE) farklıdır. Azure Yönetilen Diskler, verileri kaydederken dinlenimdeki verileri otomatik olarak şifrelemek amacıyla Azure Depolama'yı kullanır. Konak tabanlı şifreleme, veriler Azure Depolama üzerinden akmadan önce şifrelemeyi işlemek için VM'nin ana bilgisayarını kullanır.
Başlamadan önce
Başlamadan önce aşağıdaki önkoşulları ve sınırlamaları gözden geçirin.
Önkoşullar
- V2.23 veya üzeri CLI uzantısının yüklü olduğundan emin olun.
Sınırlamalar
- Bu özellik yalnızca küme veya düğüm havuzu oluşturma zamanında ayarlanabilir.
- Bu özellik yalnızca Azure Yönetilen Disklerinin sunucu tarafı şifrelemesini destekleyen Azure bölgelerinde ve yalnızca desteklenen belirli VM boyutlarıyla etkinleştirilebilir.
- Bu özellik, VM kümesi türü olarak Sanal Makine Ölçek Kümelerine dayanan bir AKS kümesi ve düğüm havuzu gerektirir.
AKS kümeniz için Konakta Şifrelemeyi Etkinleştirme
Konak tabanlı şifreleme ile düğüm havuzu eklemeden önce EncryptionAtHost özelliğinin aboneliğiniz için etkinleştirildiğinden emin olun:
# Register the EncryptionAtHost feature
az feature register --namespace Microsoft.Compute --name EncryptionAtHost
# Wait for registration to complete (this may take several minutes)
az feature show --namespace Microsoft.Compute --name EncryptionAtHost --query "properties.state"
# Refresh the provider registration
az provider register --namespace Microsoft.Compute
Yeni kümelerde konak tabanlı şifreleme kullanma
Yeni bir küme oluşturun ve
az aks createkomutunu,--enable-encryption-at-hostbayrağı ile birlikte kullanarak küme aracısı düğümlerini konak tabanlı şifreleme kullanacak şekilde yapılandırın.az aks create \ --name myAKSCluster \ --resource-group myResourceGroup \ --node-vm-size Standard_DS2_v2 \ --location westus2 \ --enable-encryption-at-host \ --generate-ssh-keys
Mevcut kümelerde konak tabanlı şifreleme kullanma
Mevcut bir kümede,
az aks nodepool addkomutunu ve--enable-encryption-at-hostbayrağını kullanarak yeni bir düğüm havuzu ekleyip konak tabanlı şifrelemeyi etkinleştirin.az aks nodepool add --name hostencrypt --cluster-name $MY_AKS_CLUSTER --resource-group $MY_RESOURCE_GROUP -s Standard_DS2_v2 --enable-encryption-at-hostSonuçlar:
{ "agentPoolProfile": { "enableEncryptionAtHost": true, "name": "hostencrypt", "nodeCount": 1, "osDiskSizeGB": 30, "vmSize": "Standard_DS2_v2" }, ... }
Sonraki adımlar
- AKS kümesi güvenliği için en iyi yöntemleri gözden geçirin.
- Konak tabanlı şifreleme hakkında daha fazla bilgi edinin.