Voraussetzungen für die Offlineinstallation von AKS Edge Essentials

Artikel
11/23/2024

AKS Edge Essentials ist in erster Linie so konzipiert, dass sie auf einem mit dem Internet verbundenen Computer installiert werden, da viele Komponenten regelmäßig aktualisiert werden. Mit einigen zusätzlichen Schritten ist es jedoch möglich, AKS Edge Essentials in einer Offlineumgebung bereitzustellen.

Im folgenden Artikel wird die erforderliche Konfiguration beschrieben, die für eine Offlineinstallation von AKS Edge Essentials erforderlich ist:

Windows-Zertifikate
Internetüberprüfungen
Lizenzierung

Windows-Zertifikate

Das Setup von AKS Edge Essentials installiert nur vertrauenswürdige Inhalte. Es überprüft, ob die Vertrauenswürdigkeit durch Überprüfen von Authenticode-Signaturen des heruntergeladenen Inhalts und überprüfen, ob alle Inhalte vor der Installation als vertrauenswürdig eingestuft werden. Außerdem werden das PowerShell-Modul "AKSEdge.psm1 " und die zum Bereitstellen des Clusters verwendeten Cmdlets signiert und überprüft. So wird Ihre Umgebung vor Angriffen geschützt, bei denen der Speicherort des Downloads kompromittiert wird.

Daher erfordert das Setup von AKS Edge Essentials, dass mehrere standardmäßige Microsoft-Stamm- und Zwischenzertifikate auf dem Computer eines Benutzers installiert und auf dem neuesten Stand sind. Wenn der Computer mit Windows Update auf dem neuesten Stand gehalten wird, sind die Signaturzertifikate in der Regel auf dem neuesten Stand. Wenn der Computer offline ist, müssen die Zertifikate auf eine andere Art aktualisiert werden.

Eine Möglichkeit, das installierte System zu prüfen, sind die folgenden Schritte:

Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.

Überprüfen Sie die Microsoft-Stammzertifizierungsstelle 2011 , indem Sie den folgenden Befehl ausführen:

Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}

Wenn die Microsoft-Stammzertifizierungsstelle 2011 auf diesem Computer installiert ist, sollte die folgende Ausgabe angezeigt werden:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root

Thumbprint                                Subject
----------                                -------
8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...

Überprüfen Sie die Microsoft-Codesignatur PCA 2011 , indem Sie den folgenden Befehl ausführen:

Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}

Wenn microsoft Code Signing PCA 2011 auf diesem Computer installiert ist, sollte die folgende Ausgabe angezeigt werden:

PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA

Thumbprint                                Subject
----------                                -------
F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...

Wenn sich das Microsoft Code Signing PCA 2011-Zwischenzertifikat nur im Zertifikatspeicher "Aktueller Benutzer " befand, ist es nur für den angemeldeten Benutzer verfügbar. Sie sollten es für andere Benutzer herunterladen.

Installieren oder Aktualisieren von Zertifikaten beim Offlinemodus

Es gibt zwei Optionen zum Installieren oder Aktualisieren von Zertifikaten in einer Offlineumgebung.

Option 1: Manuelles Installieren von Zertifikaten oder als Teil einer skriptbasierten Bereitstellung

Wenn Sie die Bereitstellung von AKS Edge Essentials in einer Offlineumgebung für Clientarbeitsstationen skripten, führen Sie die folgenden Schritte aus:

Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.
Laden Sie die erforderlichen Zertifikate herunter:
1. MicrosoftRootCertificateAuthority2011.cer
2. MicCodSigPCA2011.crt

Führen Sie die folgenden Befehle manuell aus, oder fügen Sie sie ihrem AKS Edge Essentials-Installationsskript hinzu:

certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"

certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"

Verwenden Sie die im Abschnitt "Windows-Zertifikate " bereitgestellten PowerShell-Befehle, um zu überprüfen, ob die Zertifikate ordnungsgemäß installiert wurden.

Option 2: Verteilen vertrauenswürdiger Stammzertifikate in einer Unternehmensumgebung

Für Unternehmen mit Offlinecomputern, die nicht über die neuesten Stammzertifikate verfügen, kann ein Administrator die Anweisungen unter Configure Trusted Roots and Disallowed Certificates verwenden, um sie zu aktualisieren.

Internetüberprüfungen

Während der Bereitstellung eines AKS Edge Essentials-Clusters überprüft das PowerShell-Bereitstellungsskript die Internetverbindung. Diese Prüfungen stellen sicher, dass DNS-Server funktionieren, der Cluster eine Verbindung mit dem Internet herstellen kann und dass eine Arc-Verbindung hergestellt werden kann, wenn der Benutzer dies möchte. Bei Offlineinstallationen sind diese Prüfungen jedoch nicht erforderlich und sollten vermieden werden.

Stellen Sie beim Erstellen der JSON-Bereitstellungsdatei sicher, dass Sie den InternetDisabled Parameter innerhalb des Networking Abschnitts als "true" markieren.

Konfigurieren der Netzwerkadapter

Während der Bereitstellung benötigt AKS Edge Essentials einen Adapter, der aktiviert ist und über die richtigen IP-Adresse, Subnetz- und Standardgatewayeigenschaften verfügt. Diese Werte werden automatisch in einer DHCP-Umgebung aufgefüllt. Wenn Sie manuell festlegen, stellen Sie sicher, dass alle drei Eigenschaften festgelegt werden, bevor Sie mit der Bereitstellung beginnen.

Lizenzierung

Sie können AKS Edge Essentials-Offlinebereitstellungen mithilfe des Volumenlizenzmodells für kommerzielle Zwecke lizenzieren. AKS Edge Essentials wird als Modell pro Gerät und Monat lizenziert und berechnet. Jede lizenzierte Einheit wird auf ein Gerät in Ihrem Cluster angewendet. Weitere Lizenzierungsinformationen finden Sie unter AKS Edge Essentials – Licensing.

Freigeben über