Azure Kubernetes Service (AKS) のホストベースの暗号化

ホストベースの暗号化では、AKS エージェント ノードの VM の VM ホストに保存されたデータは、保存時に暗号化され、暗号化された状態でストレージ サービスに送られます。 つまり、一時ディスクは、プラットフォーム マネージド キーを使用して保存時に暗号化されます。 OS ディスクとデータ ディスクのキャッシュは、ディスクに設定された暗号化のタイプに応じて、プラットフォーム マネージド キーまたはカスタマー マネージド キーのどちらかを使用して保存時に暗号化されます。

AKS を使うと、既定では、OS ディスクとデータ ディスクでプラットフォーム マネージド キーによるサーバー側暗号化が使われます。 これらのディスクのキャッシュは、プラットフォーム マネージド キーを使って保存時に暗号化されます。 「Azure Kubernetes Service (AKS) の Azure ディスクに独自のキー (BYOK) を使用する」の説明に従って、独自のマネージド キーを指定できます。 これらのディスクのキャッシュは、指定したキーを使っても暗号化されます。

ホスト ベースの暗号化は、Azure Storage で使用されるサーバー側暗号化 (SSE) とは異なります。 Azure マネージド ディスクでは、Azure Storage を使用してデータの保存時に保存データを自動的に暗号化します。 ホスト ベースの暗号化では、VM のホストを使用して、データが Azure Storage を通過する前に暗号化を処理します。

開始する前に

開始する前に、次の前提条件と制限事項を確認してください。

前提条件

• CLI 拡張機能 v2.23 以降がインストールされていることを確認します。

制限事項

• この機能は、クラスターまたはノード プールの作成時にのみ設定できます。
• この機能は、Azure マネージド ディスクのサーバー側暗号化がサポートされている Azure リージョンで、特定のサポートされている VM サイズのみを使用して有効にできます。
• この機能では、"VM セットの種類" として Virtual Machine Scale Sets に基づいた AKS クラスターとノード プールが必要です。

新しいクラスターでホストベースの暗号化を使用する

• 新しいクラスターを作成し、--enable-encryption-at-host フラグを指定して az aks create コマンドを使用して、ホストベースの暗号化を使用するようにクラスター エージェント ノードを構成します。

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --storage-pool-sku Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

既存のクラスターでホストベースの暗号化を使用する

• --enable-encryption-at-host フラグを指定して az aks nodepool add コマンドを使用して新しいノード プールを追加することで、既存のクラスターでホストベースの暗号化を有効にします。

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

次の手順

• AKS クラスターのセキュリティに関するベスト プラクティスを確認します。
• 詳細については、ホストベースの暗号化に関するページを参照してください。