Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
AKS Edge Essentials в основном предназначен для установки на подключенном к Интернету компьютере, так как многие компоненты регулярно обновляются. Однако с некоторыми дополнительными шагами можно развернуть AKS Edge Essentials в автономной среде.
В следующей статье описывается необходимая конфигурация, необходимая для автономной установки AKS Edge Essentials:
- Сертификаты Windows
- Проверки Интернета
- Лицензирование
Сертификаты Windows
Программа установки AKS Edge Essentials устанавливает только доверенное содержимое. Он проверяет доверие, проверяя подписи Authenticode скачиваемого содержимого и проверяя, что все содержимое является доверенным перед установкой. Кроме того, модуль и командлеты PowerShell AKSEdge.psm1, используемые для развертывания кластера, подписаны и проверены. Это позволяет обезопасить среду от атак, направленных на расположение загрузки.
Таким образом, программа установки AKS Edge Essentials требует установки нескольких стандартных корневых и промежуточных сертификатов Майкрософт на компьютере пользователя. Если компьютер обновлялся с помощью Центра обновления Windows, сертификаты для подписи обычно актуальны. Если компьютер не подключен к сети, сертификаты следует обновить иным способом.
Чтобы проверить установку системы, можно выполнить следующие действия.
Откройте сеанс PowerShell с повышенными привилегиями.
Проверьте корневой центр сертификации Майкрософт 2011 , выполнив следующую команду:
Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}Если на этом компьютере установлен корневой центр сертификации Майкрософт 2011 , вы увидите следующие выходные данные:
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root Thumbprint Subject ---------- ------- 8F43288AD272F3103B6FB1428485EA3014C0BCFE CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...Проверьте наличие пакета PCA 2011 для подписи кода Майкрософт, выполнив следующую команду:
Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}Если на этом компьютере установлен пакет PCA 2011 подписи Microsoft Code, вы увидите следующие выходные данные:
PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA Thumbprint Subject ---------- ------- F252E794FE438E35ACE6E53762C0A234A2C52135 CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
Если промежуточный сертификат PCA 2011 подписывания Microsoft Code был только в хранилище промежуточных сертификатов текущего пользователя, он доступен только пользователю, вошедшего в систему. Его может потребоваться установить для других пользователей.
Установка или обновление сертификатов в автономном режиме
Существует два варианта установки или обновления сертификатов в автономной среде.
Вариант 1. Установка сертификатов вручную или в рамках сценария развертывания
Если вы выполняете скрипт развертывания AKS Edge Essentials в автономной среде на клиентских рабочих станциях, выполните следующие действия.
Откройте сеанс PowerShell с повышенными привилегиями.
Скачайте необходимые сертификаты:
Вручную выполните следующие команды или добавьте их в скрипт установки AKS Edge Essentials:
certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer" certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"Чтобы проверить правильность установки сертификатов, используйте команды PowerShell, указанные в разделе сертификатов Windows.
Вариант 2. Распространение доверенных корневых сертификатов в корпоративной среде
Для предприятий с автономными компьютерами, у которых нет последних корневых сертификатов, администратор может использовать инструкции по настройке доверенных корней и запрещенных сертификатов для их обновления.
Проверки Интернета
Во время развертывания кластера AKS Edge Essentials скрипт развертывания PowerShell проверяет наличие подключения к Интернету. Эти проверки должны убедиться, что DNS-серверы работают, кластер может подключиться к Интернету, и что подключение Arc можно установить, если пользователь хочет этого. Однако при выполнении автономных установок эти проверки не требуются и следует избегать.
Во время создания JSON-файла развертывания убедитесь, что параметр внутри Networking раздела помечается InternetDisabled как true.
Настройка сетевых адаптеров
Во время развертывания AKS Edge Essentials требуется адаптер, который включен и имеет правильный IP-адрес, подсеть и свойства шлюза по умолчанию. Эти значения автоматически заполняются в среде DHCP. Если вы настраиваете вручную, убедитесь, что все три свойства заданы перед началом развертывания.
Лицензирование
Вы можете лицензировать автономные развертывания AKS Edge Essentials для коммерческого использования с помощью модели корпоративного лицензирования. AKS Edge Essentials лицензирована и имеет цену на каждое устройство в месяц. Каждая лицензированная единица применяется к устройству в кластере. Дополнительные сведения о лицензировании см. в статье AKS Edge Essentials — Лицензирование.