Megosztás a következőn keresztül:


Gazdagépalapú titkosítás az Azure Kubernetes Service-ben (AKS)

Gazdagépalapú titkosítással az AKS-ügynökcsomópontok virtuálisgép-gazdagépén tárolt adatok inaktív állapotban lesznek titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. Ez azt jelenti, hogy a használaton kívüli ideiglenes lemezek a platform által kezelt kulcsokkal vannak titkosítva. Az operációsrendszer-lemez és az adatlemezek gyorsítótára inaktív állapotban vagy a platform által kezelt kulcsokkal, vagy az ügyfél által kezelt kulcsokkal vannak titkosítva, a lemezeken beállított titkosítási típustól függően.

Alapértelmezés szerint az AKS használatakor az operációs rendszer és az adatlemezek kiszolgálóoldali titkosítást használnak platform által felügyelt kulcsokkal. Ezeknek a lemezeknek a gyorsítótárai inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva. Az Azure Kubernetes Service-ben saját felügyelt kulcsokat adhat meg a Saját kulcsok (BYOK) azure-lemezekkel való használata után. Ezeknek a lemezeknek a gyorsítótárai a megadott kulccsal is titkosítva vannak.

A gazdagépalapú titkosítás eltér az Azure Storage által használt kiszolgálóoldali titkosítástól (SSE). Az Azure által felügyelt lemezek az Azure Storage használatával automatikusan titkosítják az inaktív adatokat az adatok mentésekor. A gazdagépalapú titkosítás a virtuális gép gazdagépével kezeli a titkosítást, mielőtt az adatok az Azure Storage-on keresztül áramolnak.

Mielőtt elkezdené

Mielőtt hozzákezdene, tekintse át az alábbi előfeltételeket és korlátozásokat.

Előfeltételek

  • Győződjön meg arról, hogy telepítve van a CLI 2.23-s vagy újabb verziója.

Korlátozások

Gazdagépalapú titkosítás használata új fürtökön

  • Hozzon létre egy új fürtöt, és konfigurálja a fürtügynök csomópontjait gazdagépalapú titkosítás használatára a az aks create --enable-encryption-at-host jelölővel ellátott paranccsal.

    az aks create \
        --name myAKSCluster \
        --resource-group myResourceGroup \
        --node-vm-size Standard_DS2_v2 \
        --location westus2 \
        --enable-encryption-at-host \
        --generate-ssh-keys
    

Gazdagépalapú titkosítás használata meglévő fürtökön

  • Egy meglévő fürt gazdagépalapú titkosításának engedélyezéséhez adjon hozzá egy új csomópontkészletet a az aks nodepool add jelölővel ellátott --enable-encryption-at-host paranccsal.

    az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
    

Következő lépések