Szyfrowanie oparte na hoście na Azure Kubernetes Service (AKS)

W przypadku szyfrowania opartego na hoście hosta dane przechowywane na hoście maszyn wirtualnych węzłów agenta usługi AKS są szyfrowane podczas magazynowania i przepływy szyfrowane do usługi Storage. Oznacza to, że dyski tymczasowe są szyfrowane podczas magazynowania przy użyciu kluczy zarządzanych przez platformę. Pamięć podręczna dysków systemu operacyjnego i danych jest szyfrowana w spoczynku przy użyciu kluczy zarządzanych przez platformę lub kluczy zarządzanych przez klienta w zależności od typu szyfrowania ustawionego na tych dyskach.

Domyślnie w przypadku korzystania z usługi AKS system operacyjny i dyski danych używają szyfrowania po stronie serwera z kluczami zarządzanymi przez platformę. Pamięci podręczne dla tych dysków są również szyfrowane podczas magazynowania przy użyciu kluczy zarządzanych przez platformę. Możesz określić własne klucze zarządzane zgodnie z instrukcjami Bring your own keys (BYOK) z dyskami platformy Azure w Azure Kubernetes Service. Pamięć podręczna dla tych dysków będzie następnie szyfrowana przy użyciu klucza określonego w tym kroku.

Szyfrowanie oparte na hoście różni się od szyfrowania po stronie serwera (SSE), które jest używane przez usługę Azure Storage. Dyski zarządzane platformy Azure używają usługi Azure Storage do automatycznego szyfrowania danych magazynowanych podczas zapisywania danych. Szyfrowanie oparte na hoście używa hosta maszyny wirtualnej do obsługi szyfrowania przed przepływem danych przez usługę Azure Storage.

Zanim rozpoczniesz

Tę funkcję można ustawić tylko podczas tworzenia klastra lub tworzenia puli węzłów.

Uwaga

Szyfrowanie oparte na hoście jest dostępne w regionach platformy Azure , które obsługują szyfrowanie po stronie serwera dysków zarządzanych platformy Azure i tylko z określonymi obsługiwanymi rozmiarami maszyn wirtualnych.

Wymagania wstępne

  • Upewnij się, że masz zainstalowane rozszerzenie interfejsu wiersza polecenia w wersji 2.23 lub nowszej.
  • Upewnij się, że flaga EncryptionAtHost funkcji Microsoft.Compute jest włączona.

Funkcja rejestrowania EncryptionAtHost

Aby utworzyć klaster usługi AKS korzystający z szyfrowania opartego na hoście, należy włączyć EncryptionAtHost flagi funkcji w ramach subskrypcji.

Zarejestruj flagę EncryptionAtHost funkcji przy użyciu polecenia az feature register , jak pokazano w poniższym przykładzie:

az feature register --namespace "Microsoft.Compute" --name "EncryptionAtHost"

Wyświetlenie stanu Zarejestrowane trwa kilka minut. Stan rejestracji można sprawdzić za pomocą polecenia az feature list :

az feature list -o table --query "[?contains(name, 'Microsoft.Compute/EncryptionAtHost')].{Name:name,State:properties.state}"

Gdy wszystko będzie gotowe, odśwież rejestrację Microsoft.Compute dostawców zasobów za pomocą polecenia az provider register :

az provider register --namespace Microsoft.Compute

Ograniczenia

  • Można włączyć tylko w nowych pulach węzłów.
  • Można włączyć tylko w regionach świadczenia usługi Azure , które obsługują szyfrowanie po stronie serwera dysków zarządzanych platformy Azure i tylko w przypadku określonych obsługiwanych rozmiarów maszyn wirtualnych.
  • Wymaga klastra usługi AKS i puli węzłów na podstawie Virtual Machine Scale Sets (VMSS) jako typu zestawu maszyn wirtualnych.

Używanie szyfrowania opartego na hoście w nowych klastrach

Skonfiguruj węzły agenta klastra do używania szyfrowania opartego na hoście podczas tworzenia klastra.

az aks create --name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 -l westus2 --enable-encryption-at-host

Jeśli chcesz utworzyć klastry bez szyfrowania opartego na hoście, możesz to zrobić, pomijając --enable-encryption-at-host parametr .

Używanie szyfrowania opartego na hoście w istniejących klastrach

Szyfrowanie oparte na hoście można włączyć w istniejących klastrach, dodając nową pulę węzłów do klastra. Skonfiguruj nową pulę węzłów do używania szyfrowania opartego na hoście przy użyciu parametru --enable-encryption-at-host .

az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 -l westus2 --enable-encryption-at-host

Jeśli chcesz utworzyć nowe pule węzłów bez funkcji szyfrowania opartego na hoście, możesz to zrobić, pomijając --enable-encryption-at-host parametr .

Następne kroki

Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń klastra usługi AKS Przeczytaj więcej na temat szyfrowania opartego na hoście.