Enkripsi berbasis host pada Azure Kubernetes Service (AKS)

Dengan enkripsi berbasis host, data yang disimpan pada host komputer virtual dari komputer virtual simpul agen AKS Anda dienkripsi saat tidak digunakan dan alur dienkripsi ke layanan Penyimpanan. Artinya, disk sementara dienkripsi saat tidak digunakan dengan kunci yang dikelola platform. Cache OS dan disk data dienkripsi saat tidak digunakan dengan kunci yang dikelola platform atau kunci yang dikelola pelanggan tergantung pada jenis enkripsi yang ditetapkan pada disk tersebut.

Secara default, saat menggunakan AKS, OS, dan disk data menggunakan enkripsi sisi server dengan kunci yang dikelola platform. Cache untuk disk ini juga dienkripsi saat tidak aktif dengan kunci yang dikelola platform. Anda dapat menentukan kunci terkelola Anda sendiri yang mengikuti Bring Your Own Key (BYOK) dengan disk Azure di Azure Kubernetes Service. Cache untuk disk ini kemudian juga akan dienkripsi menggunakan kunci yang Anda tentukan dalam langkah ini.

Enkripsi berbasis host berbeda dari enkripsi sisi server (SSE), yang digunakan oleh Azure Storage. Disk yang dikelola Azure menggunakan Azure Storage untuk mengenkripsi data saat tidak aktif secara otomatis saat menyimpan data. Enkripsi berbasis host menggunakan host Mesin Virtual untuk menangani enkripsi sebelum data mengalir melalui Azure Storage.

Sebelum Anda mulai

Fitur ini hanya dapat diatur pada pembuatan kluster atau waktu pembuatan kumpulan simpul.

Catatan

Enkripsi berbasis host tersedia di wilayah Azure yang mendukung enkripsi sisi server disk yang dikelola Azure dan hanya dengan ukuran komputer virtual yang didukung tertentu.

Prasyarat

  • Pastikan Anda memiliki ekstensi CLI v2.23 atau versi lebih tinggi yang terpasang.
  • Pastikan Anda mengaktifkan fitur bendera EncryptionAtHost di Microsoft.Compute.

Mendaftarkan fitur EncryptionAtHost

Untuk membuat klaster AKS yang menggunakan enkripsi berbasis host, Anda harus mengaktifkan tanda fitur EncryptionAtHost pada langganan Anda.

Daftarkan bendera fitur EncryptionAtHost menggunakan perintah daftarkan fitur az, seperti yang ditunjukkan dalam contoh berikut:

az feature register --namespace "Microsoft.Compute" --name "EncryptionAtHost"

Dibutuhkan beberapa menit agar status menampilkan Terdaftar. Anda dapat memeriksa status pendaftaran menggunakan perintah daftar fitur az:

az feature list -o table --query "[?contains(name, 'Microsoft.Compute/EncryptionAtHost')].{Name:name,State:properties.state}"

Jika sudah siap, segarkan pendaftaran penyedia sumber daya Microsoft.Compute menggunakan perintah az provider register:

az provider register --namespace Microsoft.Compute

Batasan

  • Hanya dapat diaktifkan pada kumpulan simpul baru.
  • Hanya dapat diaktifkan di wilayah Azure yang mendukung enkripsi sisi server dari disk yang dikelola Azure dan hanya dengan ukuran komputer virtual yang didukung tertentu.
  • Memerlukan kluster AKS dan kumpulan simpul berdasarkan Virtual Machine Scale Sets (VMSS) sebagai jenis set komputer virtual.

Menggunakan enkripsi berbasis host pada kluster baru

Konfigurasikan simpul agen kluster untuk menggunakan enkripsi berbasis host ketika kluster dibuat.

az aks create --name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 -l westus2 --enable-encryption-at-host

Jika Anda ingin membuat kluster tanpa enkripsi berbasis host, Anda dapat melakukannya dengan menghilangkan parameter --enable-encryption-at-host.

Menggunakan enkripsi berbasis host pada kluster yang ada

Anda dapat mengaktifkan enkripsi berbasis host pada kluster yang ada dengan menambahkan kumpulan simpul baru ke kluster Anda. Konfigurasikan kumpulan simpul baru untuk menggunakan enkripsi berbasis host dengan menggunakan parameter --enable-encryption-at-host.

az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 -l westus2 --enable-encryption-at-host

Jika Anda ingin membuat kumpulan simpul baru tanpa fitur enkripsi berbasis host, Anda dapat melakukannya dengan menghilangkan parameter --enable-encryption-at-host.

Langkah berikutnya

Tinjau praktik terbaik untuk keamanan kluster AKS Baca selengkapnya tentang enkripsi berbasis host.