Pré-requisitos para a instalação offline do AKS Edge Essentials
O AKS Edge Essentials foi projetado principalmente para ser instalado em uma máquina conectada à Internet, já que muitos componentes são atualizados regularmente. No entanto, com algumas etapas extras, é possível implantar o AKS Edge Essentials em um ambiente offline.
O seguinte artigo descreve a configuração necessária para uma instalação offline do AKS Edge Essentials:
- Certificados do Windows
- Verificações na Internet
- Licenciamento
Certificados do Windows
A configuração do AKS Edge Essentials só instala conteúdo confiável. Ele verifica essa confiança verificando as assinaturas do Authenticode do conteúdo que está sendo baixado e verificando se todo o conteúdo é confiável antes de instalá-lo. Além disso, o módulo AKSEdge.psm1 PowerShell e os cmdlets usados para implantar o cluster são assinados e verificados. Isso mantém seu ambiente protegido contra ataques em que o local de download é comprometido.
Portanto, a configuração do AKS Edge Essentials requer que vários certificados raiz e intermediários padrão da Microsoft estejam instalados e atualizados na máquina de um usuário. Se a máquina tiver sido mantida atualizada com o Windows Update, os certificados de assinatura geralmente estão atualizados. Se a máquina estiver offline, os certificados devem ser atualizados de outra forma.
Uma maneira de verificar o sistema de instalação é seguir estes passos:
Abra uma sessão do PowerShell com privilégios elevados.
Verifique a Microsoft Root Certificate Authority 2011 executando o seguinte comando:
Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
Se a Microsoft Root Certificate Authority 2011 estiver instalada nesta máquina, deverá ver a seguinte saída:
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root Thumbprint Subject ---------- ------- 8F43288AD272F3103B6FB1428485EA3014C0BCFE CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
Verifique o Microsoft Code Signing PCA 2011 executando o seguinte comando:
Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
Se o Microsoft Code Signing PCA 2011 estiver instalado nesta máquina, deverá ver a seguinte saída:
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA Thumbprint Subject ---------- ------- F252E794FE438E35ACE6E53762C0A234A2C52135 CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
Se o certificado intermediário do Microsoft Code Signing PCA 2011 estiver apenas no repositório de certificados intermediário do Usuário Atual, ele estará disponível apenas para o usuário conectado. Talvez seja necessário instalá-lo para outros usuários.
Instalar ou atualizar certificados quando estiver offline
Há duas opções para instalar ou atualizar certificados em um ambiente offline.
Opção 1: instalar certificados manualmente ou como parte de uma implantação com script
Se você estiver criando scripts para a implantação do AKS Edge Essentials em um ambiente offline para estações de trabalho cliente, siga estas etapas:
Abra uma sessão do PowerShell com privilégios elevados.
Faça o download dos certificados necessários:
Execute manualmente os seguintes comandos ou adicione-os ao seu script de instalação do AKS Edge Essentials:
certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer" certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
Para verificar se os certificados foram instalados corretamente, use os comandos do PowerShell fornecidos na seção Certificados do Windows.
Opção 2: distribuir certificados raiz confiáveis em um ambiente corporativo
Para empresas com máquinas offline que não têm os certificados raiz mais recentes, um administrador pode usar as instruções em Configurar raízes confiáveis e certificados não permitidos para atualizá-los.
Verificações na Internet
Durante a implantação de um cluster do AKS Edge Essentials, o script de implantação do PowerShell verifica a conectividade com a Internet. Essas verificações são para garantir que os servidores DNS funcionem, que o cluster possa se conectar à Internet e que uma conexão Arc possa ser estabelecida se o usuário quiser isso. No entanto, ao fazer instalações offline, essas verificações não são necessárias e devem ser evitadas.
Durante a criação do arquivo JSON de implantação, certifique-se de marcar o InternetDisabled
parâmetro dentro da Networking
seção como true.
Configure seus adaptadores de rede
Durante a implantação, o AKS Edge Essentials precisa de um adaptador habilitado e com o endereço IP, a sub-rede e as propriedades de gateway padrão corretas. Esses valores são preenchidos automaticamente em um ambiente DHCP. Se você estiver definindo manualmente, certifique-se de que todas as três propriedades estejam definidas antes de começar a implantação.
Licenciamento
Você pode licenciar implantações offline do AKS Edge Essentials para uso comercial usando o modelo de licenciamento por volume. O AKS Edge Essentials é licenciado e tem um preço por dispositivo, por mês. Cada unidade licenciada é aplicada a um dispositivo no cluster. Para obter mais informações sobre licenciamento, consulte AKS Edge Essentials - Licenciamento.