Vereisten voor offline-installatie van AKS Edge Essentials

AKS Edge Essentials is voornamelijk ontworpen om te worden geïnstalleerd op een computer met internetverbinding, omdat veel onderdelen regelmatig worden bijgewerkt. Met een aantal extra stappen is het echter mogelijk om AKS Edge Essentials te implementeren in een offlineomgeving.

In het volgende artikel wordt de vereiste configuratie beschreven die nodig is voor een offline-installatie van AKS Edge Essentials:

• Windows-certificaten
• Internetcontroles
• Licenties

Windows-certificaten

Met de AKS Edge Essentials-installatie wordt alleen inhoud geïnstalleerd die wordt vertrouwd. Het verifieert dat vertrouwen door Authenticode-handtekeningen te controleren van de inhoud die wordt gedownload en controleert of alle inhoud wordt vertrouwd voordat deze wordt geïnstalleerd. Ook worden de PowerShell-module en cmdlets van AKSEdge.psm1 die worden gebruikt voor het implementeren van het cluster ondertekend en geverifieerd. Hierdoor blijft uw omgeving veilig tegen aanvallen waarbij de downloadlocatie wordt aangetast.

Daarom vereist de AKS Edge Essentials-installatie dat verschillende standaard microsoft-basis- en tussencertificaten worden geïnstalleerd en bijgewerkt op de computer van een gebruiker. Als de computer up-to-date blijft met Windows Update, zijn handtekeningcertificaten meestal up-to-date. Als de computer offline is, moeten de certificaten op een andere manier worden vernieuwd.

Een manier om het installatiesysteem te controleren, is door de volgende stappen uit te voeren:

1. Open een PowerShell-sessie met verhoogde bevoegdheid.

2. Controleer op de Microsoft Root Certificate Authority 2011 door de volgende opdracht uit te voeren:

   Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
   

   Als de Microsoft Root Certificate Authority 2011 op deze computer is geïnstalleerd, ziet u de volgende uitvoer:

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root
   
   Thumbprint                                Subject
   ----------                                -------
   8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
   

3. Controleer op de Microsoft Code Signing PCA 2011 door de volgende opdracht uit te voeren:

   Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
   

   Als pcA 2011 voor ondertekening van Microsoft-programmacode op deze computer is geïnstalleerd, ziet u de volgende uitvoer:

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA
   
   Thumbprint                                Subject
   ----------                                -------
   F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
   

Als het tussenliggende microsoft-certificaat voor ondertekening van programmacode PCA 2011 alleen in het tussenliggende certificaatarchief van de huidige gebruiker stond, is het alleen beschikbaar voor de gebruiker die is aangemeld. Mogelijk moet u deze installeren voor andere gebruikers.

Certificaten installeren of vernieuwen wanneer u offline bent

Er zijn twee opties voor het installeren of bijwerken van certificaten in een offlineomgeving.

Optie 1: certificaten handmatig of als onderdeel van een gescripte implementatie installeren

Als u de implementatie van AKS Edge Essentials in een offlineomgeving naar clientwerkstations scriptt, voert u de volgende stappen uit:

1. Open een PowerShell-sessie met verhoogde bevoegdheid.

2. Download de benodigde certificaten:

   1. MicrosoftRootCertificateAuthority2011.cer
   2. MicCodSigPCA2011.crt

3. Voer de volgende opdrachten handmatig uit of voeg deze toe aan uw AKS Edge Essentials-installatiescript:

   certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"
   
   certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
   

4. Als u wilt controleren of de certificaten correct zijn geïnstalleerd, gebruikt u de PowerShell-opdrachten in de sectie Windows-certificaten .

Optie 2: vertrouwde basiscertificaten distribueren in een bedrijfsomgeving

Voor ondernemingen met offlinecomputers die niet over de meest recente basiscertificaten beschikken, kan een beheerder de instructies in Vertrouwde basismappen en Niet-toegestane certificaten gebruiken om ze bij te werken.

Internetcontroles

Tijdens de implementatie van een AKS Edge Essentials-cluster controleert het PowerShell-implementatiescript op internetverbinding. Deze controles zijn om ervoor te zorgen dat DNS-servers werken, het cluster verbinding kan maken met internet en dat er een Arc-verbinding tot stand kan worden gebracht als de gebruiker dit wil. Bij het uitvoeren van offlineinstallaties zijn deze controles echter niet vereist en moeten ze worden vermeden.

Zorg ervoor dat u tijdens het maken van het JSON-implementatiebestand de InternetDisabled parameter in de Networking sectie markeert als waar.

Uw netwerkadapters configureren

Tijdens de implementatie heeft AKS Edge Essentials een adapter nodig die is ingeschakeld en het juiste IP-adres, subnet en standaardgatewayeigenschappen heeft. Deze waarden worden automatisch ingevuld in een DHCP-omgeving. Als u handmatig instelt, moet u ervoor zorgen dat alle drie de eigenschappen zijn ingesteld voordat u begint met de implementatie.

Licenties

U kunt offline-implementaties van AKS Edge Essentials licentie geven voor commercieel gebruik met behulp van het volumelicentiemodel. AKS Edge Essentials is gelicentieerd en geprijsd als een model per apparaat, per maand. Elke gelicentieerde eenheid wordt toegepast op een apparaat in uw cluster. Zie AKS Edge Essentials - Licensing voor meer licentiegegevens.

Volgende stappen

• Overzicht van AKS Edge Essentials
• Installatie van AKS Edge Essentials