Condividi tramite

Prerequisiti per l'installazione offline di Azure Kubernetes Edge Essentials

  • Articolo

AKS Edge Essentials è progettato principalmente per essere installato in un computer connesso a Internet, poiché molti componenti vengono aggiornati regolarmente. Tuttavia, con alcuni passaggi aggiuntivi, è possibile distribuire AKS Edge Essentials in un ambiente offline.

L'articolo seguente descrive la configurazione necessaria per un'installazione offline di Azure Kubernetes Edge Essentials:

  • Certificati di Windows
  • Controlli Internet
  • Licenze

Certificati di Windows

La configurazione di Azure Kubernetes Edge Essentials installa solo il contenuto attendibile. Verifica l'attendibilità controllando le firme Authenticode del contenuto scaricato e verificando che tutto il contenuto sia attendibile prima di installarlo. Inoltre, il modulo PowerShell AKSEdge.psm1 e i cmdlet usati per distribuire il cluster vengono firmati e verificati. In questo modo l'ambiente rimane protetto dagli attacchi caratterizzati dalla compromissione del percorso di download.

Pertanto, l'installazione di Azure Kubernetes Edge Essentials richiede l'installazione e l'aggiornamento di diversi certificati radice e intermedi Microsoft standard nel computer di un utente. Se la macchina è stata mantenuta aggiornata con Windows Update, in genere i certificati di firma sono aggiornati. Se il computer è offline, i certificati devono essere aggiornati in un altro modo.

Un modo per eseguire questa verifica nel sistema di installazione corrisponde all'esecuzione di questa procedura:

  1. Aprire una sessione di PowerShell con privilegi elevati.

  2. Verificare la presenza dell'autorità di certificazione radice Microsoft 2011 eseguendo il comando seguente:

    Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}

    Se l'autorità di certificazione radice Microsoft 2011 è installata in questo computer, verrà visualizzato l'output seguente:

    PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root

Thumbprint                                Subject
----------                                -------
8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...

  3. Verificare la presenza del CODICE Microsoft Signing PCA 2011 eseguendo il comando seguente:

    Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}

    Se il PCA 2011 per la firma del codice Microsoft è installato in questo computer, verrà visualizzato l'output seguente:

    PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA

Thumbprint                                Subject
----------                                -------
F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...

Se il certificato intermedio Microsoft Code Signing PCA 2011 si trovava solo nell'archivio certificati intermedio utente corrente, sarà disponibile solo per l'utente che ha eseguito l'accesso. Potrebbe essere necessario installarlo per altri utenti.

Installare o aggiornare i certificati quando è offline

Esistono due opzioni per l'installazione o l'aggiornamento dei certificati in un ambiente offline.

Opzione 1: installare i certificati manualmente o come parte di una distribuzione con script

Se si sta eseguendo uno script per la distribuzione di AKS Edge Essentials in un ambiente offline alle workstation client, seguire questa procedura:

  1. Aprire una sessione di PowerShell con privilegi elevati.

  2. Scaricare i certificati necessari:

    1. MicrosoftRootCertificateAuthority2011.cer
    2. MicCodSigPCA2011.crt

  3. Eseguire manualmente i comandi seguenti o aggiungerli allo script di installazione di Azure Kubernetes Edge Essentials:

    certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"

certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"

  4. Per verificare se i certificati sono stati installati correttamente, usare i comandi di PowerShell forniti nella sezione Certificati di Windows.

Opzione 2: distribuire certificati radice attendibili in un ambiente aziendale

Per le aziende con computer offline che non dispongono dei certificati radice più recenti, un amministratore può usare le istruzioni in Configurare radici attendibili e certificati non consentiti per aggiornarli.

Controlli Internet

Durante la distribuzione di un cluster Azure Kubernetes Edge Essentials, lo script di distribuzione di PowerShell verifica la connettività Internet. Questi controlli consentono di verificare che i server DNS funzionino, che il cluster sia in grado di connettersi a Internet e che sia possibile stabilire una connessione Arc se l'utente vuole. Tuttavia, quando si eseguono installazioni offline, questi controlli non sono necessari e devono essere evitati.

Durante la creazione del file JSON di distribuzione, assicurarsi di contrassegnare il InternetDisabled parametro all'interno della Networking sezione come true.

Configurare gli adattatori di rete

Durante la distribuzione, AKS Edge Essentials necessita di una scheda abilitata e con l'indirizzo IP, la subnet e le proprietà del gateway predefinite corrette. Questi valori vengono popolati automaticamente in un ambiente DHCP. Se si imposta manualmente, assicurarsi che tutte e tre le proprietà siano impostate prima di iniziare la distribuzione.

Licenze

È possibile concedere in licenza distribuzioni offline di Edge Essentials del servizio Azure Kubernetes per uso commerciale usando il modello multilicenza. Azure Kubernetes Edge Essentials è concesso in licenza e ha un prezzo come modello per dispositivo, al mese. Ogni unità con licenza viene applicata a un dispositivo nel cluster. Per altre informazioni sulle licenze, vedere AKS Edge Essentials - Licensing.For more licensing, see AKS Edge Essentials - Licensing.

Passaggi successivi