Azure Kubernetes Service (AKS) のホストベースの暗号化
ホストベースの暗号化では、AKS エージェント ノードの VM の VM ホストに保存されたデータは、保存時に暗号化され、暗号化された状態でストレージ サービスに送られます。 つまり、一時ディスクは、プラットフォーム マネージド キーを使用して保存時に暗号化されます。 OS ディスクとデータ ディスクのキャッシュは、ディスクに設定された暗号化のタイプに応じて、プラットフォーム マネージド キーまたはカスタマー マネージド キーのどちらかを使用して保存時に暗号化されます。
AKS を使うと、既定では、OS ディスクとデータ ディスクでプラットフォーム マネージド キーによるサーバー側暗号化が使われます。 これらのディスクのキャッシュは、プラットフォーム マネージド キーを使って保存時に暗号化されます。 「Azure Kubernetes Service (AKS) の Azure ディスクに独自のキー (BYOK) を使用する」の説明に従って、独自のマネージド キーを指定できます。 これらのディスクのキャッシュは、指定したキーを使っても暗号化されます。
ホスト ベースの暗号化は、Azure Storage で使用されるサーバー側暗号化 (SSE) とは異なります。 Azure マネージド ディスクでは、Azure Storage を使用してデータの保存時に保存データを自動的に暗号化します。 ホスト ベースの暗号化では、VM のホストを使用して、データが Azure Storage を通過する前に暗号化を処理します。
開始する前に
開始する前に、次の前提条件と制限事項を確認してください。
前提条件
- CLI 拡張機能 v2.23 以降がインストールされていることを確認します。
制限事項
- この機能は、クラスターまたはノード プールの作成時にのみ設定できます。
- この機能は、Azure マネージド ディスクのサーバー側暗号化がサポートされている Azure リージョンで、特定のサポートされている VM サイズのみを使用して有効にできます。
- この機能では、"VM セットの種類" として Virtual Machine Scale Sets に基づいた AKS クラスターとノード プールが必要です。
新しいクラスターでホストベースの暗号化を使用する
新しいクラスターを作成し、
--enable-encryption-at-host
フラグを指定してaz aks create
コマンドを使用して、ホストベースの暗号化を使用するようにクラスター エージェント ノードを構成します。az aks create \ --name myAKSCluster \ --resource-group myResourceGroup \ --storage-pool-sku Standard_DS2_v2 \ --location westus2 \ --enable-encryption-at-host \ --generate-ssh-keys
既存のクラスターでホストベースの暗号化を使用する
--enable-encryption-at-host
フラグを指定してaz aks nodepool add
コマンドを使用して新しいノード プールを追加することで、既存のクラスターでホストベースの暗号化を有効にします。az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
次の手順
- AKS クラスターのセキュリティに関するベスト プラクティスを確認します。
- 詳細については、ホストベースの暗号化に関するページを参照してください。
Azure Kubernetes Service