Požadavky pro offline instalaci AKS Edge Essentials
AKS Edge Essentials je primárně navržený tak, aby se nainstaloval na počítač připojený k internetu, protože mnoho komponent se pravidelně aktualizuje. S některými dalšími kroky je ale možné nasadit AKS Edge Essentials v offline prostředí.
Následující článek popisuje požadovanou konfiguraci potřebnou pro offline instalaci AKS Edge Essentials:
- Certifikáty Windows
- Kontroly internetu
- Licencování
Certifikáty Windows
Instalace AKS Edge Essentials nainstaluje jenom obsah, který je důvěryhodný. Ověřuje důvěryhodnost kontrolou podpisů obsahu, který se stahuje, a ověřením důvěryhodnosti veškerého obsahu před instalací. Modul PowerShellu a rutiny AKSEdge.psm1 použité k nasazení clusteru jsou také podepsané a ověřené. Díky tomu bude vaše prostředí v bezpečí před útoky, ve kterých dojde k ohrožení umístění stahování.
Proto instalace AKS Edge Essentials vyžaduje, aby se na počítači uživatele nainstalovalo několik standardních kořenových a zprostředkujících certifikátů Microsoftu. Pokud je počítač aktuální s služba Windows Update, podpisové certifikáty jsou obvykle aktuální. Pokud je počítač offline, certifikáty se musí aktualizovat jiným způsobem.
Jedním ze způsobů, jak zkontrolovat systém instalace, je postupovat takto:
Otevřete relaci PowerShellu se zvýšenými oprávněními.
Spuštěním následujícího příkazu zkontrolujte certifikační autoritu Microsoft Root Certificate Authority 2011 :
Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
Pokud je na tomto počítači nainstalovaná kořenová certifikační autorita Microsoftu 2011 , měl by se zobrazit následující výstup:
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root Thumbprint Subject ---------- ------- 8F43288AD272F3103B6FB1428485EA3014C0BCFE CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
Spuštěním následujícího příkazu zkontrolujte microsoft Code Signing PCA 2011 :
Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
Pokud je na tomto počítači nainstalovaný Microsoft Code Signing PCA 2011 , měl by se zobrazit následující výstup:
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA Thumbprint Subject ---------- ------- F252E794FE438E35ACE6E53762C0A234A2C52135 CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
Pokud byl zprostředkující certifikát PCA 2011 podepisování kódu Společnosti Microsoft pouze v úložišti zprostředkujících certifikátů aktuálního uživatele, je k dispozici pouze pro uživatele, který je přihlášený. Možná ho budete muset nainstalovat pro ostatní uživatele.
Instalace nebo aktualizace certifikátů v offline režimu
Existují dvě možnosti instalace nebo aktualizace certifikátů v offline prostředí.
Možnost 1: Ruční instalace certifikátů nebo jako součást skriptovaného nasazení
Pokud skriptujete nasazení AKS Edge Essentials v offline prostředí do klientských pracovních stanic, postupujte takto:
Otevřete relaci PowerShellu se zvýšenými oprávněními.
Stáhněte si potřebné certifikáty:
Ručně spusťte následující příkazy nebo je přidejte do instalačního skriptu AKS Edge Essentials:
certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer" certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
Pokud chcete zkontrolovat, jestli byly certifikáty správně nainstalované, použijte příkazy PowerShellu uvedené v části Certifikáty systému Windows.
Možnost 2: Distribuce důvěryhodných kořenových certifikátů v podnikovém prostředí
Pro podniky s offline počítači, které nemají nejnovější kořenové certifikáty, může správce použít pokyny v části Konfigurace důvěryhodných kořenových certifikátů a nepovolené certifikáty k jejich aktualizaci.
Kontroly internetu
Během nasazení clusteru AKS Edge Essentials skript nasazení PowerShellu kontroluje připojení k internetu. Tyto kontroly zajišťují, aby servery DNS fungovaly, cluster se může připojit k internetu a že je možné navázat připojení Arc, pokud to uživatel chce. Pokud ale provádíte offline instalace, tyto kontroly se nevyžadují a měly by se jim vyhnout.
Během vytváření souboru JSON nasazení se ujistěte, že parametr uvnitř oddílu Networking
označíte InternetDisabled
jako true.
Konfigurace síťových adaptérů
Během nasazování potřebuje AKS Edge Essentials adaptér, který je povolený a má správnou IP adresu, podsíť a výchozí vlastnosti brány. Tyto hodnoty se automaticky vyplní v prostředí DHCP. Pokud nastavujete ručně, před zahájením nasazení se ujistěte, že jsou nastaveny všechny tři vlastnosti.
Licencování
Offline nasazení AKS Edge Essentials můžete licencovat pro komerční použití pomocí multilicenčního modelu. AKS Edge Essentials je licencovaný a cenový model podle zařízení za měsíc. Každá licencovaná jednotka se použije na zařízení ve vašem clusteru. Další informace o licencování najdete v tématu AKS Edge Essentials – Licencování.