Criptografia baseada em host no AKS

Com a criptografia baseada em host, os dados armazenados no host da VM de suas VMs dos nós do agente AKS são criptografados em repouso e fluem criptografados para o serviço de armazenamento. Isso significa que os discos temporários são criptografados em repouso com chaves de criptografia gerenciadas pela plataforma. O cache do SO (sistema operacional) e dos discos de dados é criptografado em repouso com chaves de criptografia gerenciadas pela plataforma ou chaves gerenciadas pelo cliente, dependendo do tipo de criptografia definido nesses discos.

Por padrão, ao usar o AKS, o sistema operacional e os discos de dados usam a criptografia do servidor com chaves gerenciadas pela plataforma. Os caches desses discos são criptografados em repouso com chaves gerenciadas pela plataforma. Você pode especificar as próprias chaves gerenciadas seguindo BYOK (Bring Your Own Key) com discos do Azure no Serviço de Kubernetes do Azure. Os caches desses discos também são criptografados usando a chave que você especificar.

A criptografia baseada em host é diferente da SSE (criptografia do lado do servidor), que é usada pelo Armazenamento do Microsoft Azure. Os discos gerenciados pelo Azure usam o Armazenamento do Microsoft Azure para criptografar dados inativos automaticamente ao salvar dados. A criptografia baseada em host usa o host da VM para lidar com a criptografia antes de os dados fluirem por meio do Armazenamento do Microsoft Azure.

Antes de começar

Antes de começar, examine os pré-requisitos e limitações a seguir.

Pré-requisitos

  • Verifique se você tem a extensão CLI v2.23 ou superior instalada.

Limitações

  • Este recurso só pode ser definido no momento da criação do cluster ou do pool de nós.
  • Esse recurso só pode ser habilitado nas regiões do Azure que oferecem suporte à criptografia no lado do servidor dos discos gerenciados do Azure e somente com tamanhos de VMs com suporte específicos.
  • Esse recurso requer um cluster AKS e um pool de nós com base em Conjuntos de Dimensionamento de Máquinas Virtuais como tipo de conjunto de VMs.

Usar a criptografia baseada em host em novos clusters

  • Crie um novo cluster e configure os nós do agente de cluster para usar a criptografia baseada em host usando o comando az aks create com o sinalizador --enable-encryption-at-host.

    az aks create \
        --name myAKSCluster \
        --resource-group myResourceGroup \
        --storage-pool-sku Standard_DS2_v2 \
        --location westus2 \
        --enable-encryption-at-host \
        --generate-ssh-keys
    

Usar criptografia baseada em host em clusters existentes

  • Habilite a criptografia baseada em host em um cluster existente adicionando um novo pool de nós usando o comando az aks nodepool add com o sinalizador --enable-encryption-at-host.

    az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
    

Próximas etapas