次の方法で共有


Azure Kubernetes Service (AKS) のホストベースの暗号化

ホストベースの暗号化では、AKS エージェント ノードの VM の VM ホストに保存されたデータは、保存時に暗号化され、暗号化された状態でストレージ サービスに送られます。 つまり、一時ディスクは、プラットフォーム マネージド キーを使用して保存時に暗号化されます。 OS ディスクとデータ ディスクのキャッシュは、ディスクに設定された暗号化のタイプに応じて、プラットフォーム マネージド キーまたはカスタマー マネージド キーのどちらかを使用して保存時に暗号化されます。

AKS を使うと、既定では、OS ディスクとデータ ディスクでプラットフォーム マネージド キーによるサーバー側暗号化が使われます。 これらのディスクのキャッシュは、プラットフォーム マネージド キーを使って保存時に暗号化されます。 「Azure Kubernetes Service (AKS) の Azure ディスクに独自のキー (BYOK) を使用する」の説明に従って、独自のマネージド キーを指定できます。 これらのディスクのキャッシュは、指定したキーを使っても暗号化されます。

ホスト ベースの暗号化は、Azure Storage で使用されるサーバー側暗号化 (SSE) とは異なります。 Azure マネージド ディスクでは、Azure Storage を使用してデータの保存時に保存データを自動的に暗号化します。 ホスト ベースの暗号化では、VM のホストを使用して、データが Azure Storage を通過する前に暗号化を処理します。

開始する前に

開始する前に、次の前提条件と制限事項を確認してください。

前提条件

  • CLI 拡張機能 v2.23 以降がインストールされていることを確認します。

制限事項

  • この機能は、クラスターまたはノード プールの作成時にのみ設定できます。
  • この機能は、Azure マネージド ディスクのサーバー側暗号化がサポートされている Azure リージョンで、特定のサポートされている VM サイズのみを使用して有効にできます。
  • この機能では、"VM セットの種類" として Virtual Machine Scale Sets に基づいた AKS クラスターとノード プールが必要です。

新しいクラスターでホストベースの暗号化を使用する

  • 新しいクラスターを作成し、--enable-encryption-at-host フラグを指定して az aks create コマンドを使用して、ホストベースの暗号化を使用するようにクラスター エージェント ノードを構成します。

    az aks create \
        --name myAKSCluster \
        --resource-group myResourceGroup \
        --storage-pool-sku Standard_DS2_v2 \
        --location westus2 \
        --enable-encryption-at-host \
        --generate-ssh-keys
    

既存のクラスターでホストベースの暗号化を使用する

  • --enable-encryption-at-host フラグを指定して az aks nodepool add コマンドを使用して新しいノード プールを追加することで、既存のクラスターでホストベースの暗号化を有効にします。

    az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
    

次の手順