Prasyarat untuk penginstalan offline AKS Edge Essentials

AKS Edge Essentials terutama dirancang untuk dipasang pada komputer yang terhubung ke internet, karena banyak komponen diperbarui secara teratur. Namun, dengan beberapa langkah tambahan, Dimungkinkan untuk menyebarkan AKS Edge Essentials di lingkungan offline.

Artikel berikut menjelaskan konfigurasi yang diperlukan untuk penginstalan offline AKS Edge Essentials:

• Sertifikat Windows
• Pemeriksaan internet
• Pelisensian

Sertifikat Windows

Penyiapan AKS Edge Essentials hanya menginstal konten yang tepercaya. Ini memverifikasi bahwa kepercayaan dengan memeriksa tanda tangan Authenticode dari konten yang diunduh dan memverifikasi bahwa semua konten tepercaya sebelum menginstalnya. Selain itu , modul dan cmdlet PowerShell AKSEdge.psm1 yang digunakan untuk menyebarkan kluster ditandatangani dan diverifikasi. Ini menjaga lingkungan Anda tetap aman dari serangan di mana lokasi unduhan disusupi.

Oleh karena itu, penyiapan AKS Edge Essentials mengharuskan beberapa sertifikat akar dan menengah Microsoft standar diinstal dan diperbarui pada komputer pengguna. Jika komputer selalu diperbarui dengan Windows Update, sertifikat penandatanganan biasanya sudah diperbarui. Jika komputer offline, sertifikat harus disegarkan dengan cara lain.

Salah satu cara untuk memeriksa sistem penginstalan adalah dengan mengikuti langkah-langkah berikut:

1. Buka sesi PowerShell yang ditinggikan.

2. Periksa Otoritas Sertifikat Akar Microsoft 2011 dengan menjalankan perintah berikut:

   Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
   

   Jika Microsoft Root Certificate Authority 2011 diinstal pada komputer ini, Anda akan melihat output berikut:

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root
   
   Thumbprint                                Subject
   ----------                                -------
   8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
   

3. Periksa Microsoft Code Signing PCA 2011 dengan menjalankan perintah berikut:

   Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
   

   Jika Microsoft Code Signing PCA 2011 diinstal pada komputer ini, Anda akan melihat output berikut:

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA
   
   Thumbprint                                Subject
   ----------                                -------
   F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
   

Jika sertifikat perantara Microsoft Code Signing PCA 2011 hanya ada di penyimpanan sertifikat menengah Pengguna Saat Ini, sertifikat tersebut hanya tersedia untuk pengguna yang masuk. Anda mungkin perlu menginstalnya untuk pengguna lain.

Menginstal atau menyegarkan sertifikat saat offline

Ada dua opsi untuk menginstal atau memperbarui sertifikat di lingkungan offline.

Opsi 1: instal sertifikat secara manual atau sebagai bagian dari penyebaran skrip

Jika Anda membuat skrip penyebaran AKS Edge Essentials di lingkungan offline ke stasiun kerja klien, ikuti langkah-langkah berikut:

1. Buka sesi PowerShell yang ditinggikan.

2. Unduh sertifikat yang diperlukan:

   1. MicrosoftRootCertificateAuthority2011.cer
   2. MicCodSigPCA2011.crt

3. Jalankan perintah berikut secara manual atau tambahkan ke skrip penginstalan AKS Edge Essentials Anda:

   certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"
   
   certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
   

4. Untuk memeriksa apakah sertifikat diinstal dengan benar, gunakan perintah PowerShell yang disediakan di bagian sertifikat Windows.

Opsi 2: mendistribusikan sertifikat akar tepercaya di lingkungan perusahaan

Untuk perusahaan dengan komputer offline yang tidak memiliki sertifikat akar terbaru, administrator dapat menggunakan instruksi di Mengonfigurasi Akar Tepercaya dan Sertifikat yang Tidak Diizinkan untuk memperbaruinya.

Pemeriksaan internet

Selama penyebaran kluster AKS Edge Essentials, skrip penyebaran PowerShell memeriksa konektivitas internet. Pemeriksaan ini untuk memastikan bahwa server DNS berfungsi, kluster dapat terhubung ke internet, dan bahwa koneksi Arc dapat dibuat jika pengguna menginginkannya. Namun, saat melakukan penginstalan offline, pemeriksaan ini tidak diperlukan dan harus dihindari.

Selama pembuatan file JSON penyebaran, pastikan Anda menandai InternetDisabled parameter di dalam bagian Networking sebagai true.

Mengonfigurasi adaptor jaringan Anda

Selama penyebaran, AKS Edge Essentials memerlukan adaptor yang diaktifkan dan memiliki alamat IP, subnet, dan properti gateway default yang benar. Nilai-nilai ini secara otomatis diisi di lingkungan DHCP. Jika Anda mengatur secara manual, pastikan ketiga properti diatur sebelum Anda memulai penyebaran.

Pelisensian

Anda dapat melisensikan penyebaran offline AKS Edge Essentials untuk penggunaan komersial menggunakan model lisensi Volume. AKS Edge Essentials dilisensikan dan dihargai sebagai model per perangkat per bulan. Setiap unit berlisensi diterapkan ke perangkat di kluster Anda. Untuk informasi lisensi selengkapnya, lihat AKS Edge Essentials - Lisensi.

Langkah berikutnya

• Gambaran umum AKS Edge Essentials
• Penyiapan AKS Edge Essentials