Cifrado basado en host en Azure Kubernetes Service (AKS)

Con el cifrado basado en host, los datos almacenados en el host de máquina virtual de las máquinas virtuales de los nodos de agente de AKS se cifran en reposo y se transmiten cifrados al servido Storage. Esto significa que los discos temporales se cifran en reposo con claves administradas por la plataforma. La memoria caché de los discos de datos y del sistema operativo se cifra en reposo con claves administradas por la plataforma o por el cliente, según el tipo de cifrado establecido en esos discos.

De manera predeterminada, cuando se usa AKS, el sistema operativo y los discos de datos usan el cifrado del lado del servidor con claves administradas por la plataforma. Las memorias caché de estos discos se cifran en reposo con claves administradas por la plataforma. Puede especificar sus propias claves administradas siguiendo Traiga sus propias claves (BYOK) con discos de Azure en Azure Kubernetes Service (AKS). Las memorias caché de estos discos también se cifran con la clave que especifique.

El cifrado basado en host es diferente del cifrado del servidor (SSE), que usa Azure Storage. Los discos administrados de Azure usan Azure Storage para cifrar automáticamente los datos en reposo al guardar los datos. El cifrado basado en host usa el host de la máquina virtual para controlar el cifrado antes de que los datos fluyan a través de Azure Storage.

Antes de empezar

Antes de comenzar, revise los siguientes requisitos previos y limitaciones.

Requisitos previos

• Asegúrese de que tiene instalada la extensión de la CLI v2.23 o superior.

Limitaciones

• Esta característica solo se podrá establecer en el clúster o en el momento de la creación del grupo de nodos.
• Esta característica solo se puede habilitar en regiones de Azure que admiten el cifrado del lado servidor de discos administrados de Azure y solo con tamaños de máquinas virtuales compatibles específicos.
• Esta característica requiere un clúster de AKS y un grupo de nodos basado en Virtual Machine Scale Sets como tipo de conjunto de máquinas virtuales.

Habilitación del cifrado en host para el clúster de AKS

Antes de agregar un grupo de nodos con cifrado basado en host, asegúrese de que la característica EncryptionAtHost está habilitada para la suscripción:

# Register the EncryptionAtHost feature
az feature register --namespace Microsoft.Compute --name EncryptionAtHost

# Wait for registration to complete (this may take several minutes)
az feature show --namespace Microsoft.Compute --name EncryptionAtHost --query "properties.state"

# Refresh the provider registration
az provider register --namespace Microsoft.Compute

Uso del cifrado basado en host en clústeres nuevos

• Cree un clúster y configure los nodos del agente de clúster para usar el cifrado basado en host mediante el comando az aks create con la marca --enable-encryption-at-host.

  az aks create \
      --name myAKSCluster \
      --resource-group myResourceGroup \
      --node-vm-size Standard_DS2_v2 \
      --location westus2 \
      --enable-encryption-at-host \
      --generate-ssh-keys
  

Uso del cifrado basado en host en clústeres existentes

• Habilite el cifrado basado en host en un clúster existente agregando un nuevo grupo de nodos mediante el comando az aks nodepool add con la marca --enable-encryption-at-host.

  az aks nodepool add --name hostencrypt --cluster-name $MY_AKS_CLUSTER --resource-group $MY_RESOURCE_GROUP -s Standard_DS2_v2 --enable-encryption-at-host
  

  Resultados:

  {
      "agentPoolProfile": {
          "enableEncryptionAtHost": true,
          "name": "hostencrypt",
          "nodeCount": 1,
          "osDiskSizeGB": 30,
          "vmSize": "Standard_DS2_v2"
      },
      ...
  }
  

Pasos siguientes

• Revise los procedimientos recomendados para la seguridad de los clústeres de AKS.
• Más información sobre el cifrado basado en host.