Šifrování na základě hostitele ve službě Azure Kubernetes Service (AKS)

Při šifrování založeném na hostiteli se data uložená na hostiteli virtuálních počítačů agenta AKS virtuálních počítačů šifrují v klidovém stavu a toky zašifrované do služby Storage. To znamená, že dočasné disky jsou šifrované při nečinnosti pomocí klíčů spravovaných platformou. Mezipaměť operačního systému a datových disků je šifrovaná při nečinnosti s použitím klíčů spravovaných platformou nebo klíčů spravovaných zákazníkem, v závislosti na typu šifrování nastaveném na těchto discích.

Při použití AKS, operačního systému a datových disků ve výchozím nastavení šifrování na straně serveru s klíči spravovanými platformou. Mezipaměti pro tyto disky se šifrují v klidovém stavu pomocí klíčů spravovaných platformou. Vlastní spravované klíče můžete zadat pomocí funkce Přineste si vlastní klíče (BYOK) s disky Azure ve službě Azure Kubernetes Service. Mezipaměti pro tyto disky se také šifrují pomocí zadaného klíče.

Šifrování na straně hostitele se liší od šifrování na straně serveru (SSE), které používá Azure Storage. Disky spravované v Azure používají Azure Storage k automatickému šifrování neaktivních uložených dat při ukládání dat. Šifrování na základě hostitele používá hostitele virtuálního počítače ke zpracování šifrování před toky dat přes Azure Storage.

Než začnete

Než začnete, projděte si následující požadavky a omezení.

Požadavky

• Ujistěte se, že máte nainstalované rozšíření rozhraní příkazového řádku verze 2.23 nebo vyšší.

Omezení

• Tuto funkci je možné nastavit pouze při vytváření clusteru nebo fondu uzlů.
• Tuto funkci je možné povolit jenom v oblastech Azure, které podporují šifrování spravovaných disků Azure na straně serveru a pouze s konkrétními podporovanými velikostmi virtuálních počítačů.
• Tato funkce vyžaduje cluster AKS a fond uzlů založený na škálovacích sadách virtuálních počítačů jako typu sady virtuálních počítačů.

Použití šifrování založeného na hostiteli na nových clusterech

• Vytvořte nový cluster a nakonfigurujte uzly agenta clusteru tak, aby používaly šifrování na základě hostitele pomocí az aks create příkazu s příznakem --enable-encryption-at-host .

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --storage-pool-sku Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Použití šifrování založeného na hostiteli na existujících clusterech

• Povolte šifrování na základě hostitele v existujícím clusteru přidáním nového fondu uzlů pomocí az aks nodepool add příkazu s příznakem --enable-encryption-at-host .

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

Další kroky

• Projděte si osvědčené postupy zabezpečení clusteru AKS.
• Přečtěte si další informace o šifrování založeném na hostiteli.