Gazdagépalapú titkosítás az Azure Kubernetes Service-ben (AKS)

Gazdagépalapú titkosítással az AKS-ügynökcsomópontok virtuálisgép-gazdagépén tárolt adatok inaktív állapotban lesznek titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. Ez azt jelenti, hogy a használaton kívüli ideiglenes lemezek a platform által kezelt kulcsokkal vannak titkosítva. Az operációsrendszer-lemez és az adatlemezek gyorsítótára inaktív állapotban vagy a platform által kezelt kulcsokkal, vagy az ügyfél által kezelt kulcsokkal vannak titkosítva, a lemezeken beállított titkosítási típustól függően.

Alapértelmezés szerint az AKS használatakor az operációs rendszer és az adatlemezek kiszolgálóoldali titkosítást használnak platform által felügyelt kulcsokkal. Ezeknek a lemezeknek a gyorsítótárai inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva. Az Azure Kubernetes Service-ben saját felügyelt kulcsokat adhat meg a Saját kulcsok (BYOK) azure-lemezekkel való használata után. Ezeknek a lemezeknek a gyorsítótárai a megadott kulccsal is titkosítva vannak.

A gazdagépalapú titkosítás eltér az Azure Storage által használt kiszolgálóoldali titkosítástól (SSE). Az Azure által felügyelt lemezek az Azure Storage használatával automatikusan titkosítják az inaktív adatokat az adatok mentésekor. A gazdagépalapú titkosítás a virtuális gép gazdagépével kezeli a titkosítást, mielőtt az adatok az Azure Storage-on keresztül áramolnak.

Mielőtt elkezdené

Mielőtt hozzákezdene, tekintse át az alábbi előfeltételeket és korlátozásokat.

Előfeltételek

• Győződjön meg arról, hogy telepítve van a CLI 2.23-s vagy újabb verziója.

Korlátozások

• Ez a funkció csak fürt- vagy csomópontkészlet-létrehozási időpontban állítható be.
• Ez a funkció csak olyan Azure-régiókban engedélyezhető, amelyek támogatják az Azure-beli felügyelt lemezek kiszolgálóoldali titkosítását, és csak meghatározott támogatott virtuálisgép-méretekkel.
• Ehhez a funkcióhoz virtuálisgép-készlettípusként virtuálisgép-méretezési csoportokon alapuló AKS-fürtre és csomópontkészletre van szükség.

Gazdagépalapú titkosítás használata új fürtökön

• Hozzon létre egy új fürtöt, és konfigurálja a fürtügynök csomópontjait gazdagépalapú titkosítás használatára a az aks create --enable-encryption-at-host jelölővel ellátott paranccsal.

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --node-vm-size Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Gazdagépalapú titkosítás használata meglévő fürtökön

• Egy meglévő fürt gazdagépalapú titkosításának engedélyezéséhez adjon hozzá egy új csomópontkészletet a az aks nodepool add jelölővel ellátott --enable-encryption-at-host paranccsal.

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

Következő lépések

• Tekintse át az AKS-fürt biztonságának ajánlott eljárásait.
• További információ a gazdagépalapú titkosításról.