Gazdagépalapú titkosítás az Azure Kubernetes Service-ben (AKS)
Gazdagépalapú titkosítással az AKS-ügynökcsomópontok virtuálisgép-gazdagépén tárolt adatok inaktív állapotban lesznek titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. Ez azt jelenti, hogy a használaton kívüli ideiglenes lemezek a platform által kezelt kulcsokkal vannak titkosítva. Az operációsrendszer-lemez és az adatlemezek gyorsítótára inaktív állapotban vagy a platform által kezelt kulcsokkal, vagy az ügyfél által kezelt kulcsokkal vannak titkosítva, a lemezeken beállított titkosítási típustól függően.
Alapértelmezés szerint az AKS használatakor az operációs rendszer és az adatlemezek kiszolgálóoldali titkosítást használnak platform által felügyelt kulcsokkal. Ezeknek a lemezeknek a gyorsítótárai inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva. Az Azure Kubernetes Service-ben saját felügyelt kulcsokat adhat meg a Saját kulcsok (BYOK) azure-lemezekkel való használata után. Ezeknek a lemezeknek a gyorsítótárai a megadott kulccsal is titkosítva vannak.
A gazdagépalapú titkosítás eltér az Azure Storage által használt kiszolgálóoldali titkosítástól (SSE). Az Azure által felügyelt lemezek az Azure Storage használatával automatikusan titkosítják az inaktív adatokat az adatok mentésekor. A gazdagépalapú titkosítás a virtuális gép gazdagépével kezeli a titkosítást, mielőtt az adatok az Azure Storage-on keresztül áramolnak.
Mielőtt elkezdené
Mielőtt hozzákezdene, tekintse át az alábbi előfeltételeket és korlátozásokat.
Előfeltételek
- Győződjön meg arról, hogy telepítve van a CLI 2.23-s vagy újabb verziója.
Korlátozások
- Ez a funkció csak fürt- vagy csomópontkészlet-létrehozási időpontban állítható be.
- Ez a funkció csak olyan Azure-régiókban engedélyezhető, amelyek támogatják az Azure-beli felügyelt lemezek kiszolgálóoldali titkosítását, és csak meghatározott támogatott virtuálisgép-méretekkel.
- Ehhez a funkcióhoz virtuálisgép-készlettípusként virtuálisgép-méretezési csoportokon alapuló AKS-fürtre és csomópontkészletre van szükség.
Gazdagépalapú titkosítás használata új fürtökön
Hozzon létre egy új fürtöt, és konfigurálja a fürtügynök csomópontjait gazdagépalapú titkosítás használatára a
az aks create
--enable-encryption-at-host
jelölővel ellátott paranccsal.az aks create \ --name myAKSCluster \ --resource-group myResourceGroup \ --node-vm-size Standard_DS2_v2 \ --location westus2 \ --enable-encryption-at-host \ --generate-ssh-keys
Gazdagépalapú titkosítás használata meglévő fürtökön
Egy meglévő fürt gazdagépalapú titkosításának engedélyezéséhez adjon hozzá egy új csomópontkészletet a
az aks nodepool add
jelölővel ellátott--enable-encryption-at-host
paranccsal.az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
Következő lépések
- Tekintse át az AKS-fürt biztonságának ajánlott eljárásait.
- További információ a gazdagépalapú titkosításról.
Azure Kubernetes Service