Chiffrement basé sur l’hôte sur Azure Kubernetes Service (AKS)
Avec le chiffrement basé sur l’hôte, les données stockées sur l’hôte de machine virtuelle des machines virtuelles de vos nœuds d’agent AKS sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. Cela signifie que les disques temporaires sont chiffrés au repos avec des clés gérées par la plateforme. Le cache du système d’exploitation et des disques de données est chiffré au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement défini sur ces disques.
Par défaut, lors de l’utilisation d’AKS, du système d’exploitation et des disques de données, utilisez le chiffrement côté serveur avec des clés gérées par la plateforme. Les caches de ces disques sont également chiffrés au repos avec des clés gérées par la plateforme. Vous pouvez spécifier vos propres clés gérées à l’aide de Bring your own keys (BYOK) avec des disques Azure dans Azure Kubernetes service. Les caches de ces disques sont également chiffrés à l’aide de la clé que vous spécifiez.
Le chiffrement basé sur l’hôte est différent du chiffrement côté serveur (SSE) qui est utilisé par le Stockage Azure. Les disques managés par Azure utilisent le Stockage Azure pour chiffrer automatiquement les données au repos lors de l’enregistrement des données. Le chiffrement basé sur l’hôte utilise l’hôte de la machine virtuelle pour gérer le chiffrement avant que les données n’arrivent dans le Stockage Azure.
Avant de commencer
Avant de commencer, passez en revue les conditions préalables et limitations suivantes.
Prérequis
- Vérifiez que l’extension CLI version 2.23 ou ultérieure est installée.
Limites
- Cette fonctionnalité ne peut être définie qu’au moment de la création du cluster ou du pool de nœuds.
- Cette fonctionnalité ne peut être activé que dans les régions Azure qui prennent en charge le chiffrement côté serveur des disques managés Azure et uniquement avec des tailles de machine virtuelle spécifiques prises en charge.
- Cette fonctionnalité requiert un cluster AKS et un pool de nœuds basés sur Virtual Machine Scale Sets comme type d’ensemble de machines virtuelles.
Utiliser le chiffrement basé sur l’hôte sur les nouveaux clusters
Créez un cluster et configurez les nœuds de l’agent de cluster pour utiliser le chiffrement basé sur l’hôte à l’aide de la commande
az aks create
avec l’indicateur--enable-encryption-at-host
.az aks create \ --name myAKSCluster \ --resource-group myResourceGroup \ --node-vm-size Standard_DS2_v2 \ --location westus2 \ --enable-encryption-at-host \ --generate-ssh-keys
Utiliser le chiffrement basé sur l’hôte sur les clusters existants
Activez le chiffrement basé sur l’hôte sur un cluster existant en ajoutant un nouveau pool de nœuds à l’aide de la commande
az aks nodepool add
avec l’indicateur--enable-encryption-at-host
.az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
Étapes suivantes
- Consulter les bonnes pratiques relatives à la sécurité des clusters AKS.
- En savoir plus sur le chiffrement basé sur l’hôte.
Azure Kubernetes Service