Azure Kubernetes Service (AKS) üzerinde konak tabanlı şifreleme

Konak tabanlı şifreleme ile AKS aracı düğümlerinizin VM'lerinin VM ana bilgisayarında depolanan veriler bekleme sırasında şifrelenir ve akışlar Depolama hizmetine şifrelenir. Bu, geçici disklerin bekleme sırasında platform tarafından yönetilen anahtarlarla şifrelenmesi anlamına gelir. İşletim sistemi ve veri disklerinin önbelleği, bu disklerde ayarlanan şifreleme türüne bağlı olarak platform tarafından yönetilen anahtarlar veya müşteri tarafından yönetilen anahtarlar ile bekleme durumunda şifrelenir.

Varsayılan olarak AKS kullanırken işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlarla sunucu tarafı şifreleme kullanır. Bu disklerin önbellekleri, platform tarafından yönetilen anahtarlarla bekleme sırasında şifrelenir. Azure Kubernetes Service'de Azure diskleriyle Kendi anahtarlarınızı getirin (BYOK) seçeneğini izleyerek kendi yönetilen anahtarlarınızı belirtebilirsiniz. Bu disklerin önbellekleri de belirttiğiniz anahtar kullanılarak şifrelenir.

Konak tabanlı şifreleme, Azure Depolama tarafından kullanılan sunucu tarafı şifrelemesinden (SSE) farklıdır. Azure tarafından yönetilen diskler, verileri kaydederken bekleyen verileri otomatik olarak şifrelemek için Azure Depolama'yı kullanır. Konak tabanlı şifreleme, veriler Azure Depolama üzerinden akmadan önce şifrelemeyi işlemek için VM'nin ana bilgisayarını kullanır.

Başlamadan önce

Başlamadan önce aşağıdaki önkoşulları ve sınırlamaları gözden geçirin.

Önkoşullar

• CLI uzantısı v2.23 veya üzerinin yüklü olduğundan emin olun.

Sınırlamalar

• Bu özellik yalnızca küme veya düğüm havuzu oluşturma zamanında ayarlanabilir.
• Bu özellik yalnızca Azure yönetilen disklerinin sunucu tarafı şifrelemesini destekleyen Azure bölgelerinde ve yalnızca desteklenen belirli VM boyutlarıyla etkinleştirilebilir.
• Bu özellik, VM kümesi türü olarak Sanal Makine Ölçek Kümeleri temel alan bir AKS kümesi ve düğüm havuzu gerektirir.

Yeni kümelerde konak tabanlı şifreleme kullanma

• Yeni bir küme oluşturun ve bayrağıyla komutunu kullanarak az aks create konak tabanlı şifreleme kullanmak için küme aracısı düğümlerini --enable-encryption-at-host yapılandırın.

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --storage-pool-sku Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Mevcut kümelerde konak tabanlı şifreleme kullanma

• bayrağıyla komutunu kullanarak yeni bir düğüm havuzu ekleyerek mevcut bir kümede konak tabanlı şifrelemeyi az aks nodepool add--enable-encryption-at-host etkinleştirin.

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

Sonraki adımlar

• AKS kümesi güvenliği için en iyi yöntemleri gözden geçirin.
• Konak tabanlı şifreleme hakkında daha fazla bilgi edinin.