Criptografia baseada em host no AKS
Com a criptografia baseada em host, os dados armazenados no host da VM de suas VMs dos nós do agente AKS são criptografados em repouso e fluem criptografados para o serviço de armazenamento. Isso significa que os discos temporários são criptografados em repouso com chaves de criptografia gerenciadas pela plataforma. O cache do SO (sistema operacional) e dos discos de dados é criptografado em repouso com chaves de criptografia gerenciadas pela plataforma ou chaves gerenciadas pelo cliente, dependendo do tipo de criptografia definido nesses discos.
Por padrão, ao usar o AKS, o sistema operacional e os discos de dados usam a criptografia do servidor com chaves gerenciadas pela plataforma. Os caches desses discos são criptografados em repouso com chaves gerenciadas pela plataforma. Você pode especificar as próprias chaves gerenciadas seguindo BYOK (Bring Your Own Key) com discos do Azure no Serviço de Kubernetes do Azure. Os caches desses discos também são criptografados usando a chave que você especificar.
A criptografia baseada em host é diferente da SSE (criptografia do lado do servidor), que é usada pelo Armazenamento do Microsoft Azure. Os discos gerenciados pelo Azure usam o Armazenamento do Microsoft Azure para criptografar dados inativos automaticamente ao salvar dados. A criptografia baseada em host usa o host da VM para lidar com a criptografia antes de os dados fluirem por meio do Armazenamento do Microsoft Azure.
Antes de começar
Antes de começar, examine os pré-requisitos e limitações a seguir.
Pré-requisitos
- Verifique se você tem a extensão CLI v2.23 ou superior instalada.
Limitações
- Este recurso só pode ser definido no momento da criação do cluster ou do pool de nós.
- Esse recurso só pode ser habilitado nas regiões do Azure que oferecem suporte à criptografia no lado do servidor dos discos gerenciados do Azure e somente com tamanhos de VMs com suporte específicos.
- Esse recurso requer um cluster AKS e um pool de nós com base em Conjuntos de Dimensionamento de Máquinas Virtuais como tipo de conjunto de VMs.
Usar a criptografia baseada em host em novos clusters
Crie um novo cluster e configure os nós do agente de cluster para usar a criptografia baseada em host usando o comando
az aks create
com o sinalizador--enable-encryption-at-host
.az aks create \ --name myAKSCluster \ --resource-group myResourceGroup \ --node-vm-size Standard_DS2_v2 \ --location westus2 \ --enable-encryption-at-host \ --generate-ssh-keys
Usar criptografia baseada em host em clusters existentes
Habilite a criptografia baseada em host em um cluster existente adicionando um novo pool de nós usando o comando
az aks nodepool add
com o sinalizador--enable-encryption-at-host
.az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
Próximas etapas
- Examine as práticas recomendadas para segurança do cluster AKS.
- Leia mais sobre a criptografia baseada em host.
Azure Kubernetes Service