Šifrování na základě hostitele ve službě Azure Kubernetes Service (AKS)

Článek
07/19/2023

Při šifrování založeném na hostiteli se data uložená na hostiteli virtuálního počítače virtuálních počítačů uzlů agenta AKS šifrují v klidovém stavu a proudí do služby Storage. To znamená, že dočasné disky jsou v klidovém stavu šifrované pomocí klíčů spravovaných platformou. Mezipaměť disků s operačním systémem a datových disků se v klidovém stavu šifruje pomocí klíčů spravovaných platformou nebo klíčů spravovaných zákazníkem v závislosti na typu šifrování nastaveném na těchto discích.

Ve výchozím nastavení se při použití AKS a datové disky s operačním systémem a datovými disky používají šifrování na straně serveru s klíči spravovanými platformou. Mezipaměti pro tyto disky jsou v klidovém stavu šifrované pomocí klíčů spravovaných platformou. Vlastní spravované klíče můžete zadat podle pokynů v tématu Používání vlastních klíčů (BYOK) s disky Azure v Azure Kubernetes Service. Mezipaměti pro tyto disky jsou také šifrované pomocí klíče, který zadáte.

Šifrování na základě hostitele se liší od šifrování na straně serveru (SSE), které používá Azure Storage. Spravované disky Azure používají Službu Azure Storage k automatickému šifrování neaktivních uložených dat při ukládání dat. Šifrování na základě hostitele využívá hostitele virtuálního počítače ke zpracování šifrování před tím, než data procházejí službou Azure Storage.

Než začnete

Než začnete, projděte si následující požadavky a omezení.

Požadavky

Ujistěte se, že máte nainstalované rozšíření rozhraní příkazového řádku verze 2.23 nebo novější.

Omezení

Tuto funkci je možné nastavit pouze při vytváření clusteru nebo fondu uzlů.
Tuto funkci je možné povolit pouze v oblastech Azure , které podporují šifrování spravovaných disků Azure na straně serveru, a pouze u konkrétních podporovaných velikostí virtuálních počítačů.
Tato funkce vyžaduje cluster AKS a fond uzlů na základě Virtual Machine Scale Sets jako typu sady virtuálních počítačů.

Použití šifrování na základě hostitele u nových clusterů

Vytvořte nový cluster a nakonfigurujte uzly agenta clusteru tak, aby používaly šifrování na základě hostitele pomocí az aks create příkazu s příznakem --enable-encryption-at-host .

az aks create \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --storage-pool-sku Standard_DS2_v2 \
    --location westus2 \
    --enable-encryption-at-host \
    --generate-ssh-keys

Použití šifrování na základě hostitele u existujících clusterů

U existujícího clusteru povolte šifrování na základě hostitele přidáním nového fondu uzlů pomocí az aks nodepool add příkazu s příznakem --enable-encryption-at-host .
```
az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
```

Další kroky

Projděte si osvědčené postupy pro zabezpečení clusteru AKS.
Přečtěte si další informace o šifrování na základě hostitele.

Sdílet prostřednictvím