Versleuteling op basis van een host in AKS (Azure Kubernetes Service)

Met versleuteling op basis van een host worden de gegevens die zijn opgeslagen op de VM-host van de VM's van de AKS-agentknooppunten versleuteld en worden ze versleuteld naar de Storage-service. Dit betekent dat de tijdelijke schijven at-rest worden versleuteld met door het platform beheerde sleutels. De cache van besturingssysteem- en gegevensschijven wordt at-rest versleuteld met door het platform beheerde sleutels of door de klant beheerde sleutels, afhankelijk van het versleutelingstype dat op deze schijven is ingesteld.

Wanneer u AKS, besturingssysteem- en gegevensschijven gebruikt, gebruikt u standaard versleuteling aan de serverzijde met door platform beheerde sleutels. De caches voor deze schijven worden in rust versleuteld met door het platform beheerde sleutels. U kunt uw eigen beheerde sleutels opgeven na BYOK (Bring Your Own Keys) met Azure-schijven in Azure Kubernetes Service. De caches voor deze schijven worden ook versleuteld met behulp van de sleutel die u opgeeft.

Versleuteling op basis van een host verschilt van versleuteling aan de serverzijde (SSE), die wordt gebruikt door Azure Storage. Door Azure beheerde schijven gebruiken Azure Storage om gegevens in rust automatisch te versleutelen bij het opslaan van gegevens. Versleuteling op basis van een host maakt gebruik van de host van de VIRTUELE machine om versleuteling te verwerken voordat de gegevens via Azure Storage stromen.

Voordat u begint

Bekijk voordat u begint de volgende vereisten en beperkingen.

Vereisten

• Zorg ervoor dat de CLI-extensie v2.23 of hoger is geïnstalleerd.

Beperkingen

• Deze functie kan alleen worden ingesteld tijdens het maken van clusters of knooppuntgroepen.
• Deze functie kan alleen worden ingeschakeld in Azure-regio's die ondersteuning bieden voor versleuteling aan de serverzijde van beheerde Azure-schijven en alleen met specifieke ondersteunde VM-grootten.
• Voor deze functie zijn een AKS-cluster en knooppuntgroep vereist op basis van virtuele-machineschaalsets als type VM-set.

Versleuteling op basis van een host gebruiken op nieuwe clusters

• Maak een nieuw cluster en configureer de clusteragentknooppunten om versleuteling op basis van een host te gebruiken met behulp van de az aks create opdracht met de --enable-encryption-at-host vlag.

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --node-vm-size Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Versleuteling op basis van host gebruiken op bestaande clusters

• Schakel hostversleuteling in op een bestaand cluster door een nieuwe knooppuntgroep toe te voegen met behulp van de az aks nodepool add opdracht met de --enable-encryption-at-host vlag.

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

Volgende stappen

• Bekijk de aanbevolen procedures voor AKS-clusterbeveiliging.
• Lees meer over versleuteling op basis van een host.