次の方法で共有

AKS Edge Essentials オフライン インストールの前提条件

  • [アーティクル]

AKS Edge Essentials は、多くのコンポーネントが定期的に更新されるため、主にインターネットに接続されたマシンにインストールされるように設計されています。 ただし、いくつかの追加の手順により、オフライン環境に AKS Edge Essentials をデプロイできます。

次の記事では、AKS Edge Essentials のオフライン インストールに必要な構成について説明します。

  • Windows 証明書
  • インターネット チェック
  • ライセンス

Windows 証明書

AKS Edge Essentials のセットアップでは、信頼されているコンテンツのみがインストールされます。 ダウンロードするコンテンツの Authenticode 署名を確認し、インストールする前にすべてのコンテンツが信頼されていることを確認することで、信頼を検証します。 また、クラスターのデプロイに使用される AKSEdge.psm1 PowerShell モジュールとコマンドレットが署名され、検証されます。 これにより、ダウンロード場所が侵害されていた場合に攻撃から環境の安全を維持します。

そのため、AKS Edge Essentials のセットアップでは、いくつかの標準の Microsoft ルート証明書と中間証明書がユーザーのコンピューターにインストールされ、最新の状態になっている必要があります。 コンピューターが Windows Update で最新の状態に保たれている場合は、通常、署名証明書も最新の状態になっています。 コンピューターがオフラインの場合は、別の方法で証明書を更新する必要があります。

以下の手順はインストール システムをチェックする方法の 1 つです。

  1. 管理者特権の PowerShell セッションを開きます。

  2. 次のコマンドを実行して、 Microsoft ルート証明機関 2011 を確認します。

    Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}

    このコンピューターに Microsoft ルート証明機関 2011 がインストールされている場合は、次の出力が表示されます。

    PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root

Thumbprint                                Subject
----------                                -------
8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...

  3. 次のコマンドを実行して、 Microsoft Code Signing PCA 2011 を確認します。

    Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}

    このコンピューターに Microsoft Code Signing PCA 2011 がインストールされている場合は、次の出力が表示されます。

    PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA

Thumbprint                                Subject
----------                                -------
F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...

Microsoft Code Signing PCA 2011中間証明書が現在のユーザー中間証明書ストアにのみ存在する場合は、サインインしているユーザーのみが使用できます。 他のユーザー用にインストールが必要な場合があります。

オフライン時に証明書をインストールまたは更新する

オフライン環境で証明書をインストールまたは更新するには、2 つのオプションがあります。

オプション 1: 証明書を手動でインストールするか、スクリプト化された展開の一部としてインストールする

クライアント ワークステーションへのオフライン環境での AKS Edge Essentials のデプロイをスクリプト化する場合は、次の手順に従います。

  1. 管理者特権の PowerShell セッションを開きます。

  2. 必要な証明書をダウンロードします。

    1. MicrosoftRootCertificateAuthority2011.cer
    2. MicCodSigPCA2011.crt

  3. 次のコマンドを手動で実行するか、AKS Edge Essentials インストール スクリプトに追加します。

    certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"

certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"

  4. 証明書が正しくインストールされているかどうかを確認するには、「 Windows 証明書 」セクションに記載されている PowerShell コマンドを使用します。

オプション 2: エンタープライズ環境で信頼されたルート証明書を配布する

最新のルート証明書を持たないオフライン コンピューターを使用している企業の場合、管理者は 信頼されたルートと許可されていない証明書の構成 の手順を使用して更新できます。

インターネット チェック

AKS Edge Essentials クラスターのデプロイ中に、PowerShell デプロイ スクリプトによってインターネット接続がチェックされます。 これらのチェックでは、DNS サーバーが機能し、クラスターがインターネットに接続できること、ユーザーがこれを望む場合に Arc 接続を確立できることを確認します。 ただし、オフライン インストールを実行する場合、これらのチェックは必要ないため、避ける必要があります。

デプロイ JSON ファイルの作成時にNetworking セクション内の InternetDisabled パラメーターを必ず true としてマークします。

ネットワーク アダプターを構成する

デプロイ時に、AKS Edge Essentials には、有効で、正しい IP アドレス、サブネット、および既定のゲートウェイ プロパティを持つアダプターが必要です。 これらの値は、DHCP 環境で自動的に設定されます。 手動で設定する場合は、デプロイを開始する前に、3 つのプロパティがすべて設定されていることを確認します。

ライセンス

Volume ライセンス モデルを使用して、商用の AKS Edge Essentials オフライン 展開のライセンスを取得できます。 AKS Edge Essentials は、デバイスごとの月単位のモデルとしてライセンスされ、価格が設定されています。 ライセンスが付与された各ユニットは、クラスター内のデバイスに適用されます。 ライセンス情報の詳細については、「 AKS Edge Essentials - Licensing」を参照してください。

次のステップ