Udostępnij za pośrednictwem

Wymagania wstępne dotyczące instalacji usługi AKS Edge Essentials w trybie offline

  • Artykuł

Usługa AKS Edge Essentials została zaprojektowana głównie do zainstalowania na komputerze połączonym z Internetem, ponieważ wiele składników jest regularnie aktualizowanych. Jednak w przypadku niektórych dodatkowych kroków można wdrożyć podstawowe elementy usługi AKS Edge w środowisku offline.

W poniższym artykule opisano wymaganą konfigurację wymaganą do instalacji usługi AKS Edge Essentials w trybie offline:

  • Certyfikaty systemu Windows
  • Testy internetowe
  • Licencjonowanie

Certyfikaty systemu Windows

Instalator AKS Edge Essentials instaluje tylko zawartość, która jest zaufana. Sprawdza to zaufanie, sprawdzając podpisy Authenticode pobranej zawartości i sprawdzając, czy cała zawartość jest zaufana przed zainstalowaniem. Ponadto moduł AKSEdge.psm1 programu PowerShell i polecenia cmdlet używane do wdrażania klastra są podpisane i zweryfikowane. Dzięki temu środowisko jest bezpieczne przed atakami, w których zostanie naruszona lokalizacja pobierania.

W związku z tym konfiguracja usługi AKS Edge Essentials wymaga zainstalowania i aktualności kilku standardowych certyfikatów głównych i pośrednich firmy Microsoft na komputerze użytkownika. Jeśli maszyna była aktualna w usłudze Windows Update, certyfikaty podpisywania są zwykle aktualne. Jeśli maszyna jest w trybie offline, certyfikaty muszą zostać odświeżone w inny sposób.

Jednym ze sposobów sprawdzenia systemu instalowania jest wykonanie następujących kroków:

  1. Otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień.

  2. Sprawdź główny urząd certyfikacji firmy Microsoft 2011 , uruchamiając następujące polecenie:

    Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}

    Jeśli na tym komputerze zainstalowano główny urząd certyfikacji firmy Microsoft 2011 , powinny zostać wyświetlone następujące dane wyjściowe:

    PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root

Thumbprint                                Subject
----------                                -------
8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...

  3. Sprawdź certyfikat PCA podpisywania kodu firmy Microsoft 2011 , uruchamiając następujące polecenie:

    Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}

    Jeśli na tym komputerze jest zainstalowany program Microsoft Code Signing PCA 2011 , powinny zostać wyświetlone następujące dane wyjściowe:

    PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA

Thumbprint                                Subject
----------                                -------
F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...

Jeśli certyfikat pośredniczący PCA podpisywania kodu firmy Microsoft 2011 był tylko w magazynie certyfikatów pośrednich bieżącego użytkownika, jest on dostępny tylko dla zalogowanego użytkownika. Może być konieczne zainstalowanie go dla innych użytkowników.

Instalowanie lub odświeżanie certyfikatów w trybie offline

Istnieją dwie opcje instalowania lub aktualizowania certyfikatów w środowisku offline.

Opcja 1. Ręczne instalowanie certyfikatów lub w ramach wdrożenia skryptowego

Jeśli wykonujesz skrypty wdrażania usługi AKS Edge Essentials w środowisku offline na stacjach roboczych klienckich, wykonaj następujące kroki:

  1. Otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień.

  2. Pobierz niezbędne certyfikaty:

    1. MicrosoftRootCertificateAuthority2011.cer
    2. MicCodSigPCA2011.crt

  3. Ręcznie uruchom następujące polecenia lub dodaj je do skryptu instalacji AKS Edge Essentials:

    certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"

certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"

  4. Aby sprawdzić, czy certyfikaty zostały poprawnie zainstalowane, użyj poleceń programu PowerShell podanych w sekcji Certyfikaty systemu Windows.

Opcja 2. Dystrybuowanie zaufanych certyfikatów głównych w środowisku przedsiębiorstwa

W przypadku przedsiębiorstw z maszynami w trybie offline, które nie mają najnowszych certyfikatów głównych, administrator może użyć instrukcji w temacie Konfigurowanie zaufanych katalogów głównych i niedozwolonych certyfikatów , aby je zaktualizować.

Testy internetowe

Podczas wdrażania klastra AKS Edge Essentials skrypt wdrażania programu PowerShell sprawdza łączność z Internetem. Te testy mają na celu upewnienie się, że serwery DNS działają, klaster jest w stanie nawiązać połączenie z Internetem i że można ustanowić połączenie usługi Arc, jeśli użytkownik tego chce. Jednak podczas instalacji w trybie offline te kontrole nie są wymagane i należy unikać.

Podczas tworzenia pliku JSON wdrożenia upewnij się, że parametr znajduje się InternetDisabled w Networking sekcji jako true.

Konfigurowanie adapterów sieciowych

Podczas wdrażania usługa AKS Edge Essentials wymaga karty, która jest włączona i ma prawidłowy adres IP, podsieć i właściwości bramy domyślnej. Te wartości są wypełniane automatycznie w środowisku DHCP. W przypadku ręcznego ustawiania upewnij się, że wszystkie trzy właściwości są ustawione przed rozpoczęciem wdrażania.

Licencjonowanie

Możesz licencjonować wdrożenia usługi AKS Edge Essentials w trybie offline do użytku komercyjnego przy użyciu modelu licencjonowania zbiorowego. Usługa AKS Edge Essentials jest licencjonowana i wyceniona jako model na urządzenie miesięcznie. Każda licencjonowana jednostka jest stosowana do urządzenia w klastrze. Aby uzyskać więcej informacji na temat licencjonowania, zobacz AKS Edge Essentials — licencjonowanie.

Następne kroki