AKS Edge Essentials オフライン インストールの前提条件

AKS Edge Essentials は、多くのコンポーネントが定期的に更新されるため、主にインターネットに接続されたマシンにインストールするように設計されています。 ただし、いくつかの追加の手順により、AKS Edge Essentials をオフライン環境にデプロイできます。

次の記事では、AKS Edge Essentials のオフライン インストールに必要な構成について説明します。

• Windows 証明書
• インターネット チェック
• ライセンス

Windows 証明書

AKS Edge Essentials のセットアップでは、信頼できるコンテンツのみがインストールされます。 ダウンロードするコンテンツの Authenticode 署名を確認し、インストールする前にすべてのコンテンツが信頼されていることを確認することで、その信頼を検証します。 また、クラスターのデプロイに使用される AKSEdge.psm1 PowerShell モジュールとコマンドレットが署名され、検証されます。 これにより、ダウンロード場所が侵害されていた場合に攻撃から環境の安全を維持します。

そのため、AKS Edge Essentials のセットアップでは、いくつかの標準の Microsoft ルート証明書と中間証明書がユーザーのコンピューターにインストールされ、最新の状態になっている必要があります。 コンピューターが Windows Update で最新の状態に保たれている場合は、通常、署名証明書も最新の状態になっています。 コンピューターがオフラインの場合は、別の方法で証明書を更新する必要があります。

以下の手順はインストール システムをチェックする方法の 1 つです。

1. 管理者特権の PowerShell セッションを開きます。

2. 次のコマンドを実行して、 Microsoft ルート証明機関 2011 を確認します。

   Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
   

   このマシンに Microsoft ルート証明機関 2011 がインストールされている場合は、次の出力が表示されます。

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root
   
   Thumbprint                                Subject
   ----------                                -------
   8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
   

3. 次のコマンドを実行して 、Microsoft Code Signing PCA 2011 を確認します。

   Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
   

   このコンピューターに Microsoft Code Signing PCA 2011 がインストールされている場合は、次の出力が表示されます。

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA
   
   Thumbprint                                Subject
   ----------                                -------
   F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
   

Microsoft Code Signing PCA 2011 中間証明書が現在のユーザー中間証明書ストアにのみ存在する場合は、サインインしているユーザーのみが使用できます。 他のユーザー用にインストールが必要な場合があります。

オフライン時に証明書をインストールまたは更新する

オフライン環境で証明書をインストールまたは更新するには、2 つのオプションがあります。

オプション 1: 証明書を手動でインストールするか、スクリプト化された展開の一部としてインストールする

クライアント ワークステーションへのオフライン環境での AKS Edge Essentials のデプロイをスクリプト化する場合は、次の手順に従います。

1. 管理者特権の PowerShell セッションを開きます。

2. 必要な証明書をダウンロードします。

   1. MicrosoftRootCertificateAuthority2011.cer
   2. MicCodSigPCA2011.crt

3. 次のコマンドを手動で実行するか、AKS Edge Essentials インストール スクリプトに追加します。

   certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"
   
   certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
   

4. 証明書が正しくインストールされているかどうかをチェックするには、「Windows 証明書」セクションで提供されている PowerShell コマンドを使用します。

オプション 2: エンタープライズ環境で信頼されたルート証明書を配布する

最新のルート証明書を持たないオフライン マシンを持つ企業の場合、管理者は「 信頼されたルートの構成」と「許可されていない証明書」 の手順を使用して更新できます。

インターネット チェック

AKS Edge Essentials クラスターのデプロイ中に、PowerShell デプロイ スクリプトによってインターネット接続がチェックされます。 これらのチェックでは、DNS サーバーが動作し、クラスターがインターネットに接続できること、ユーザーがこれを必要とする場合に Arc 接続を確立できることを確認します。 ただし、オフライン インストールを実行する場合、これらのチェックは不要であり、避ける必要があります。

デプロイ JSON ファイルの作成時に、 セクション内Networkingの パラメーターを InternetDisabled true としてマークしていることを確認します。

ネットワーク アダプターを構成する

デプロイ中、AKS Edge Essentials には、有効で、正しい IP アドレス、サブネット、および既定のゲートウェイ プロパティを持つアダプターが必要です。 これらの値は、DHCP 環境で自動的に設定されます。 手動で設定する場合は、デプロイを開始する前に、3 つのプロパティがすべて設定されていることを確認します。

ライセンス

ボリューム ライセンス モデルを使用して、商用使用のために AKS Edge Essentials オフライン デプロイ のライセンスを取得できます。 AKS Edge Essentials は、デバイスごとの月単位のモデルとしてライセンスされ、価格が設定されています。 各ライセンスユニットは、クラスター内のデバイスに適用されます。 ライセンス情報の詳細については、「 AKS Edge Essentials - ライセンス」を参照してください。

次の手順

• AKS Edge Essentials の概要
• AKS Edge Essentials のセットアップ