Värdbaserad kryptering på Azure Kubernetes Service (AKS)

Med värdbaserad kryptering krypteras data som lagras på den virtuella datorns värd för dina AKS-agentnoders virtuella datorer i vila och flöden krypteras till lagringstjänsten. Det innebär att temporära diskar i vila krypteras med plattformsbaserade nycklar. Cacheminnet för operativsystem och datadiskar i vila krypteras med antingen plattformsbaserade eller kundhanterade nycklar beroende på vilken krypteringstyp som angetts för diskarna.

När du använder AKS använder operativsystem och datadiskar som standard kryptering på serversidan med plattformshanterade nycklar. Cacheminnena för dessa diskar krypteras i vila med plattformshanterade nycklar. Du kan ange dina egna hanterade nycklar efter BYOK (Bring your own keys) med Azure-diskar i Azure Kubernetes Service. Cacheminnena för dessa diskar krypteras också med hjälp av den nyckel som du anger.

Värdbaserad kryptering skiljer sig från kryptering på serversidan (SSE), som används av Azure Storage. Azure-hanterade diskar använder Azure Storage för att automatiskt kryptera vilande data när data sparas. Värdbaserad kryptering använder den virtuella datorns värd för att hantera kryptering innan data flödar via Azure Storage.

Innan du börjar

Innan du börjar bör du granska följande krav och begränsningar.

Förutsättningar

• Kontrollera att CLI-tillägget v2.23 eller senare är installerat.

Begränsningar

• Den här funktionen kan bara ställas in när kluster- eller nodpoolen skapas.
• Den här funktionen kan bara aktiveras i Azure-regioner som stöder kryptering på serversidan av Azure-hanterade diskar och endast med specifika vm-storlekar som stöds.
• Den här funktionen kräver ett AKS-kluster och en nodpool baserat på VM-skalningsuppsättningar som typ av VM-uppsättning.

Använda värdbaserad kryptering på nya kluster

• Skapa ett nytt kluster och konfigurera klusteragentnoderna så att de använder värdbaserad kryptering med kommandot az aks create med --enable-encryption-at-host flaggan .

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --storage-pool-sku Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Använda värdbaserad kryptering på befintliga kluster

• Aktivera värdbaserad kryptering i ett befintligt kluster genom att lägga till en ny nodpool med kommandot az aks nodepool add med --enable-encryption-at-host flaggan .

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

Nästa steg

• Granska metodtipsen för AKS-klustersäkerhet.
• Läs mer om värdbaserad kryptering.