AKS Edge Essentials 오프라인 설치를 위한 필수 구성 요소

AKS Edge Essentials는 많은 구성 요소가 정기적으로 업데이트되므로 주로 인터넷에 연결된 컴퓨터에 설치되도록 설계되었습니다. 그러나 몇 가지 추가 단계를 통해 오프라인 환경에서 AKS Edge Essentials를 배포할 수 있습니다.

다음 문서에서는 AKS Edge Essentials 오프라인 설치에 필요한 구성에 대해 설명합니다.

• Windows 인증서
• 인터넷 검사
• 라이선싱

Windows 인증서

AKS Edge Essentials 설정은 신뢰할 수 있는 콘텐츠만 설치합니다. 다운로드 중인 콘텐츠의 Authenticode 서명을 확인하고 설치하기 전에 모든 콘텐츠가 신뢰할 수 있는지 확인하여 트러스트를 확인합니다. 또한 클러스터를 배포하는 데 사용되는 AKSEdge.psm1 PowerShell 모듈 및 cmdlet이 서명되고 확인됩니다. 그러면 다운로드 위치를 손상시키는 공격으로부터 환경을 보호할 수 있습니다.

따라서 AKS Edge Essentials를 설정하려면 여러 표준 Microsoft 루트 및 중간 인증서가 사용자의 컴퓨터에 설치되고 최신 상태로 설치되어야 합니다. 컴퓨터가 Windows 업데이트를 통해 최신 상태로 유지되면 서명 인증서는 일반적으로 최신 상태입니다. 시스템이 오프라인 상태인 경우 인증서는 다른 방법으로 새로 고쳐야 합니다.

설치하는 시스템을 확인할 한 가지 방법은 다음 단계를 수행하는 것입니다.

1. 승격된 PowerShell 세션을 엽니다.

2. 다음 명령을 실행하여 Microsoft 루트 인증 기관 2011을 확인합니다.

   Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
   

   이 컴퓨터에 Microsoft 루트 인증 기관 2011이 설치된 경우 다음 출력이 표시됩니다.

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root
   
   Thumbprint                                Subject
   ----------                                -------
   8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
   

3. 다음 명령을 실행하여 Microsoft Code Signing PCA 2011을 확인합니다.

   Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
   

   이 컴퓨터에 Microsoft Code Signing PCA 2011이 설치되어 있으면 다음 출력이 표시됩니다.

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA
   
   Thumbprint                                Subject
   ----------                                -------
   F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
   

Microsoft Code Signing PCA 2011 중간 인증서가 현재 사용자 중간 인증서 저장소에만 있는 경우 로그인한 사용자만 사용할 수 있습니다. 다른 사용자를 위해 설치해야 할 수도 있습니다.

오프라인일 때 인증서 설치 또는 새로 고침

오프라인 환경에서 인증서를 설치하거나 업데이트하는 두 가지 옵션이 있습니다.

옵션 1: 수동으로 또는 스크립티된 배포의 일부로 인증서 설치

오프라인 환경에서 클라이언트 워크스테이션에 AKS Edge Essentials 배포를 스크립팅하는 경우 다음 단계를 수행합니다.

1. 승격된 PowerShell 세션을 엽니다.

2. 필요한 인증서를 다운로드합니다.

   1. MicrosoftRootCertificateAuthority2011.cer
   2. MicCodSigPCA2011.crt

3. 다음 명령을 수동으로 실행하거나 AKS Edge Essentials 설치 스크립트에 추가합니다.

   certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"
   
   certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
   

4. 인증서가 올바르게 설치되었는지 확인하려면 Windows 인증서 섹션에 제공된 PowerShell 명령을 사용합니다.

옵션 2: 엔터프라이즈 환경에서 신뢰할 수 있는 루트 인증서 배포

최신 루트 인증서가 없는 오프라인 컴퓨터가 있는 엔터프라이즈의 경우 관리자는 신뢰할 수 있는 루트 구성 및 허용되지 않는 인증서의 지침을 사용하여 업데이트할 수 있습니다.

인터넷 검사

AKS Edge Essentials 클러스터를 배포하는 동안 PowerShell 배포 스크립트는 인터넷 연결을 확인합니다. 이러한 검사는 DNS 서버가 작동하고, 클러스터가 인터넷에 연결할 수 있는지, 사용자가 원하는 경우 Arc 연결을 설정할 수 있는지 확인하는 것입니다. 그러나 오프라인 설치를 수행할 때는 이러한 검사가 필요하지 않으며 피해야 합니다.

배포 JSON 파일을 만드는 동안 섹션 내 Networking 의 매개 변수를 InternetDisabled true로 표시해야 합니다.

네트워크 어댑터 구성

배포하는 동안 AKS Edge Essentials에는 사용하도록 설정되고 올바른 IP 주소, 서브넷 및 기본 게이트웨이 속성이 있는 어댑터가 필요합니다. 이러한 값은 DHCP 환경에서 자동으로 채워집니다. 수동으로 설정하는 경우 배포를 시작하기 전에 세 가지 속성이 모두 설정되었는지 확인합니다.

라이선싱

볼륨 라이선스 모델을 사용하여 상업적 사용을 위해 AKS Edge Essentials 오프라인 배포에 라이선스를 부여할 수 있습니다. AKS Edge Essentials는 디바이스별 월별 모델로 사용이 허가되고 가격이 책정됩니다. 라이선스가 부여된 각 단위는 클러스터의 디바이스에 적용됩니다. 자세한 라이선스 정보는 AKS Edge Essentials - 라이선스를 참조하세요.

다음 단계

• AKS 엣지에센셜 개요
• AKS Edge Essentials 설정