AKS Edge Essentials 脱机安装的先决条件

AKS Edge Essentials 主要用于安装在连接 Internet 的计算机上，因为许多组件会定期更新。 但是，通过一些额外的步骤，可以在脱机环境中部署 AKS Edge Essentials。

以下文章介绍了 AKS Edge Essentials 脱机安装所需的配置：

• Windows 证书
• Internet 检查
• 许可

Windows 证书

AKS Edge Essentials 安装程序仅安装受信任的内容。 它通过检查正在下载的内容的 Authenticode 签名并验证所有内容在安装之前是否受信任来验证信任。 此外，用于部署群集的 AKSEdge.psm1 PowerShell 模块和 cmdlet 已签名和验证。 这样可以保证用户环境的安全，在下载位置受到威胁时免受攻击。

因此，AKS Edge Essentials 安装程序要求在用户的计算机上安装多个标准Microsoft根证书和中间证书并更新。 如果计算机通过 Windows 更新保持最新状态，则签名证书通常是最新状态。 如果计算机处于脱机状态，则必须采用其他方式刷新证书。

检查安装系统的一种方法是按以下步骤操作：

1. 打开提升的 PowerShell 会话。

2. 运行以下命令， 检查 Microsoft 根证书颁发机构 2011 ：

   Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
   

   如果此计算机上安装Microsoft根证书颁发机构 2011，则应看到以下输出：

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root
   
   Thumbprint                                Subject
   ----------                                -------
   8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
   

3. 运行以下命令， 检查Microsoft代码签名 PCA 2011 ：

   Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
   

   如果此计算机上安装Microsoft代码签名 PCA 2011，则应看到以下输出：

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA
   
   Thumbprint                                Subject
   ----------                                -------
   F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
   

如果Microsoft代码签名 PCA 2011 中间证书仅在当前用户中间证书存储中，则它仅适用于已登录的用户。 可能需要为其他用户安装它。

脱机时安装或刷新证书

在脱机环境中安装或更新证书有两个选项。

选项 1：手动或作为脚本部署的一部分安装证书

如果要在脱机环境中编写 AKS Edge Essentials 部署到客户端工作站的脚本，请执行以下步骤：

1. 打开提升的 PowerShell 会话。

2. 下载所需的证书：

   1. MicrosoftRootCertificateAuthority2011.cer
   2. MicCodSigPCA2011.crt

3. 手动运行以下命令，或将它们添加到 AKS Edge Essentials 安装脚本：

   certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"
   
   certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
   

4. 若要检查证书是否已正确安装，请使用 Windows 证书部分中提供的 PowerShell 命令。

选项 2：在企业环境中分发受信任的根证书

对于没有最新根证书的脱机计算机的企业，管理员可以使用“配置受信任的根”和“不允许的证书”中的说明来更新它们。

Internet 检查

在部署 AKS Edge Essentials 群集期间，PowerShell 部署脚本会检查 Internet 连接。 这些检查可确保 DNS 服务器正常工作，群集能够连接到 Internet，并且如果用户想要此连接，则可以建立 Arc 连接。 但是，在进行脱机安装时，不需要进行这些检查，应避免这些检查。

在创建部署 JSON 文件时，请确保将InternetDisabledNetworking节中的参数标记为 true。

配置网络适配器

在部署期间，AKS Edge Essentials 需要启用并具有正确的 IP 地址、子网和默认网关属性的适配器。 这些值在 DHCP 环境中自动填充。 如果手动设置，请确保在开始部署之前设置所有三个属性。

许可

可以使用批量许可模型为 AKS Edge Essentials 脱机部署授权，以供商业使用。 AKS Edge Essentials 已获得许可，并按月按设备定价。 每个许可单位都应用于群集中的设备。 有关更多许可信息，请参阅 AKS Edge Essentials - 许可。

后续步骤

• AKS 边缘软件包概述
• AKS Edge Essentials 设置