Azure Kubernetes Service'te (AKS) konak tabanlı şifreleme

Konak tabanlı şifreleme ile AKS aracı düğümlerinizin VM'lerinin VM konakında depolanan veriler bekleme sırasında şifrelenir ve akışlar Depolama hizmetine şifrelenir. Bu, geçici disklerin platform tarafından yönetilen anahtarlarla beklemede şifrelendiği anlamına gelir. İşletim sistemi ve veri disklerinin önbelleği, bu disklerde ayarlanan şifreleme türüne bağlı olarak, platform tarafından yönetilen anahtarlarla veya müşteri tarafından yönetilen anahtarlarla beklemedeyken şifrelenir.

Varsayılan olarak, AKS kullanılırken işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlarla sunucu tarafı şifreleme kullanır. Bu disklerin önbellekleri, platform tarafından yönetilen anahtarlarla beklemede şifrelenir. Azure Kubernetes Service'te Azure diskleri ile Kendi anahtarlarınızı getirin (KAG) seçeneğinin ardından kendi yönetilen anahtarlarınızı belirtebilirsiniz. Bu disklerin önbellekleri de belirttiğiniz anahtar kullanılarak şifrelenir.

Konak tabanlı şifreleme, Azure Depolama tarafından kullanılan sunucu tarafı şifrelemesinden (SSE) farklıdır. Azure tarafından yönetilen diskler, verileri kaydederken bekleyen verileri otomatik olarak şifrelemek için Azure Depolama'yı kullanır. Konak tabanlı şifreleme, veriler Azure Depolama üzerinden akmadan önce şifrelemeyi işlemek için VM'nin ana bilgisayarını kullanır.

Başlamadan önce

Başlamadan önce aşağıdaki önkoşulları ve sınırlamaları gözden geçirin.

Önkoşullar

• V2.23 veya üzeri CLI uzantısının yüklü olduğundan emin olun.

Sınırlamalar

• Bu özellik yalnızca küme veya düğüm havuzu oluşturma zamanında ayarlanabilir.
• Bu özellik yalnızca Azure yönetilen disklerinin sunucu tarafı şifrelemesini destekleyen Azure bölgelerinde ve yalnızca desteklenen belirli VM boyutlarıyla etkinleştirilebilir.
• Bu özellik, VM kümesi türü olarak Sanal Makine Ölçek Kümeleri temel alan bir AKS kümesi ve düğüm havuzu gerektirir.

Yeni kümelerde konak tabanlı şifreleme kullanma

• Yeni bir küme oluşturun ve bayrağıyla komutunu kullanarak az aks create konak tabanlı şifreleme kullanmak için küme aracısı düğümlerini --enable-encryption-at-host yapılandırın.

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --storage-pool-sku Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Mevcut kümelerde konak tabanlı şifreleme kullanma

• bayrağıyla komutunu kullanarak yeni bir düğüm havuzu ekleyerek mevcut bir kümede az aks nodepool add konak tabanlı şifrelemeyi --enable-encryption-at-host etkinleştirin.

  az aks nodepool add --name hostencrypt --cluster-name myAKSCluster --resource-group myResourceGroup -s Standard_DS2_v2 --enable-encryption-at-host
  

Sonraki adımlar

• AKS kümesi güvenliği için en iyi yöntemleri gözden geçirin.
• Konak tabanlı şifreleme hakkında daha fazla bilgi edinin.