Udostępnij za pośrednictwem

Szyfrowanie oparte na hoście w usłudze Azure Kubernetes Service (AKS)

  • Artykuł

Dzięki szyfrowaniu opartemu na hoście dane przechowywane na maszynie wirtualnej na maszynie wirtualnej maszyn wirtualnych węzłów agenta usługi AKS są szyfrowane w stanie spoczynku i przepływy szyfrowane w usłudze Storage. Oznacza to, że dyski tymczasowe są szyfrowane podczas przechowywania przy użyciu kluczy zarządzanych przez platformę. Pamięć podręczna dysków systemu operacyjnego i danych jest szyfrowana podczas przechowywania przy użyciu kluczy zarządzanych przez platformę lub kluczy zarządzanych przez klienta, w zależności od typu szyfrowania ustawionego na tych dyskach.

Domyślnie w przypadku korzystania z usługi AKS, systemu operacyjnego i dysków danych używane jest szyfrowanie po stronie serwera z kluczami zarządzanymi przez platformę. Pamięci podręczne dla tych dysków są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Możesz określić własne klucze zarządzane zgodnie z instrukcjami Bring your own keys (BYOK) z dyskami platformy Azure w usłudze Azure Kubernetes Service. Pamięci podręczne dla tych dysków są również szyfrowane przy użyciu określonego klucza.

Szyfrowanie oparte na hoście różni się od szyfrowania po stronie serwera (SSE), które jest używane przez usługę Azure Storage. Dyski zarządzane platformy Azure używają usługi Azure Storage do automatycznego szyfrowania danych magazynowanych podczas zapisywania danych. Szyfrowanie oparte na hoście używa hosta maszyny wirtualnej do obsługi szyfrowania przed przepływem danych przez usługę Azure Storage.

Zanim rozpoczniesz

Przed rozpoczęciem zapoznaj się z następującymi wymaganiami wstępnymi i ograniczeniami.

Wymagania wstępne

  • Upewnij się, że masz zainstalowane rozszerzenie interfejsu wiersza polecenia w wersji 2.23 lub nowszej.

Ograniczenia

  • Tę funkcję można ustawić tylko w czasie tworzenia klastra lub puli węzłów.
  • Tę funkcję można włączyć tylko w regionach świadczenia usługi Azure, które obsługują szyfrowanie po stronie serwera dysków zarządzanych platformy Azure i tylko w przypadku określonych obsługiwanych rozmiarów maszyn wirtualnych.
  • Ta funkcja wymaga klastra usługi AKS i puli węzłów na podstawie zestawów skalowania maszyn wirtualnych jako typu zestawu maszyn wirtualnych.

Używanie szyfrowania opartego na hoście w nowych klastrach

  • Utwórz nowy klaster i skonfiguruj węzły agenta klastra do używania szyfrowania opartego na hoście przy użyciu az aks create polecenia z flagą --enable-encryption-at-host .

    az aks create \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --node-vm-size Standard_DS2_v2 \
    --location westus2 \
    --enable-encryption-at-host \
    --generate-ssh-keys

Używanie szyfrowania opartego na hoście w istniejących klastrach

  • Włącz szyfrowanie oparte na hoście w istniejącym klastrze, dodając nową pulę węzłów przy użyciu az aks nodepool add polecenia z flagą --enable-encryption-at-host .

    az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host

Następne kroki