Gazdagépalapú titkosítás Azure Kubernetes Service (AKS)

Gazdagépalapú titkosítással az AKS-ügynök csomópontjainak virtuálisgép-gazdagépén tárolt adatok inaktív állapotban vannak titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. Ez azt jelenti, hogy az ideiglenes lemezek inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva. Az operációs rendszer és az adatlemezek gyorsítótára inaktív állapotban, platform által felügyelt vagy ügyfél által felügyelt kulcsokkal van titkosítva az adott lemezeken beállított titkosítási típustól függően.

Alapértelmezés szerint az AKS használatakor az operációs rendszer és az adatlemezek kiszolgálóoldali titkosítást használnak platform által felügyelt kulcsokkal. Ezeknek a lemezeknek a gyorsítótárai inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva. Saját felügyelt kulcsokat a Saját kulcsok (BYOK) használata Azure-lemezekkel Azure Kubernetes Service című témakörben talál. A lemezek gyorsítótárai a megadott kulccsal is titkosítva vannak.

A gazdagépalapú titkosítás különbözik az Azure Storage által használt kiszolgálóoldali titkosítástól (SSE). Az Azure által felügyelt lemezek az Azure Storage használatával automatikusan titkosítják az inaktív adatokat az adatok mentésekor. A gazdagépalapú titkosítás a virtuális gép gazdagépét használja a titkosítás kezelésére, mielőtt az adatok az Azure Storage-on keresztül áramolnak.

Előkészületek

A kezdés előtt tekintse át az alábbi előfeltételeket és korlátozásokat.

Előfeltételek

• Győződjön meg arról, hogy telepítve van a 2.23-os vagy újabb verziójú CLI-bővítmény.

Korlátozások

• Ez a funkció csak a fürt- vagy csomópontkészlet létrehozási idején állítható be.
• Ez a funkció csak olyan Azure-régiókban engedélyezhető, amelyek támogatják az Azure-beli felügyelt lemezek kiszolgálóoldali titkosítását, és csak meghatározott támogatott virtuálisgép-méretekkel.
• Ehhez a funkcióhoz egy AKS-fürtre és csomópontkészletre van szükség, amely a virtuálisgép-készlet típusaként Virtual Machine Scale Sets alapul.

Gazdagépalapú titkosítás használata új fürtökön

• Hozzon létre egy új fürtöt, és konfigurálja a fürtügynök csomópontjait gazdagépalapú titkosítás használatára a az aks create--enable-encryption-at-host jelzővel ellátott paranccsal.

  az aks create --name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 -l westus2 --enable-encryption-at-host
  

Gazdagépalapú titkosítás használata meglévő fürtökön

• Egy meglévő fürt gazdagépalapú titkosításának engedélyezéséhez adjon hozzá egy új csomópontkészletet a az aks nodepool add jelzővel ellátott --enable-encryption-at-host paranccsal.

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

Következő lépések

• Tekintse át az AKS-fürt biztonságával kapcsolatos ajánlott eljárásokat.
• További információ a gazdagépalapú titkosításról.