Поделиться через


Шифрование на основе узла в службе Azure Kubernetes (AKS)

При шифровании на основе узла данные, хранящиеся в хостах виртуальных машин узлов агента AKS, шифруются в состоянии покоя и передаются в зашифрованном виде в сервис хранения. Это означает, что временные диски шифруются в состоянии покоя с помощью ключей, управляемых платформой. Кэш дисков ОС и данных шифруется в состоянии покоя с помощью ключей, управляемых платформой, или ключей, управляемых клиентом, в зависимости от того, какой тип шифрования установлен на этих дисках.

По умолчанию при использовании AKS, ОС и дисков данных используют шифрование на стороне сервера с ключами, управляемыми платформой. Кеши этих дисков шифруются в состоянии покоя с помощью ключей, управляемых платформой. Вы можете указать собственные управляемые ключи после добавления собственных ключей (BYOK) с дисками Azure в службе Azure Kubernetes. Кэши этих дисков также шифруются с помощью указанного ключа.

Шифрование на основе узла отличается от шифрования на стороне сервера (SSE), которое используется службой хранилища Azure. Управляемые Azure диски используют службу хранилища Azure для автоматического шифрования неактивных данных при сохранении данных. Шифрование на основе узла использует узел виртуальной машины для обработки шифрования перед тем, как данные передаются через службу хранилища Azure.

Перед тем как начать

Перед началом работы ознакомьтесь со следующими предварительными условиями и ограничениями.

Предпосылки

  • Убедитесь, что у вас установлено расширение CLI версии 2.23 или более поздней версии.

Ограничения

  • Эта функция может быть задана только во время создания кластера или пула узлов.
  • Эта функция может быть включена только в регионах Azure , поддерживающих шифрование управляемых дисков Azure на стороне сервера и только с определенными поддерживаемыми размерами виртуальных машин.
  • Для этой функции требуется кластер AKS и пул узлов на основе масштабируемых наборов виртуальных машин как тип набора виртуальных машин.

Включение шифрования на узле для кластера AKS

Перед добавлением пула узлов с шифрованием на основе узла убедитесь, что для подписки включена функция EncryptionAtHost:

# Register the EncryptionAtHost feature
az feature register --namespace Microsoft.Compute --name EncryptionAtHost

# Wait for registration to complete (this may take several minutes)
az feature show --namespace Microsoft.Compute --name EncryptionAtHost --query "properties.state"

# Refresh the provider registration
az provider register --namespace Microsoft.Compute

Использование шифрования на основе узла в новых кластерах

  • Создайте кластер и настройте узлы агента кластера для использования шифрования на основе узла с помощью az aks create команды с флагом --enable-encryption-at-host .

    az aks create \
        --name myAKSCluster \
        --resource-group myResourceGroup \
        --node-vm-size Standard_DS2_v2 \
        --location westus2 \
        --enable-encryption-at-host \
        --generate-ssh-keys
    

Использование шифрования на основе узла в существующих кластерах

  • Включите шифрование на основе узла в существующем кластере, добавив новый пул узлов с помощью az aks nodepool add команды с флагом --enable-encryption-at-host .

    az aks nodepool add --name hostencrypt --cluster-name $MY_AKS_CLUSTER --resource-group $MY_RESOURCE_GROUP -s Standard_DS2_v2 --enable-encryption-at-host
    

    Результаты:

    {
        "agentPoolProfile": {
            "enableEncryptionAtHost": true,
            "name": "hostencrypt",
            "nodeCount": 1,
            "osDiskSizeGB": 30,
            "vmSize": "Standard_DS2_v2"
        },
        ...
    }
    

Дальнейшие шаги