Compartir a través de

Observabilidad para clústeres de Azure Kubernetes Service (AKS) con cifrado etcd de Key Management Service (KMS) (legado)

En este artículo se muestra cómo ver las métricas de observabilidad y mejorar la observabilidad de los clústeres de AKS con el cifrado etcd de KMS.

Prerrequisitos

Comprobación de la configuración de KMS

  • Obtenga la configuración de KMS mediante el az aks show comando .

    az aks show --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --query "securityProfile.azureKeyVaultKms"

    La salida es similar a la salida de ejemplo siguiente:

    ...
"securityProfile": {
  "azureKeyVaultKms": {
    "enabled": true,
    "keyId": "https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-id>",
    "keyVaultNetworkAccess": "Public",
    "keyVaultResourceId": <key-vault-resource-id>
...

Diagnóstico y solución de problemas

Dado que el complemento KMS es un sidecar de pod kube-apiserver, no se puede acceder a él directamente. Para mejorar la observabilidad de KMS, puede comprobar el estado de KMS mediante Azure Portal.

  1. En Azure Portal, vaya al clúster de AKS.
  2. En el menú servicio, seleccione Diagnosticar y resolver problemas.
  3. En la barra de búsqueda, busque KMS y seleccione Problemas de integración de KMS de Azure KeyVault.

Problema de ejemplo

Supongamos que ve el siguiente problema: KeyExpired: Operation encrypt isn't allowed on an expired key.

Dado que el complemento KMS de AKS actualmente solo permite el almacén de claves y la clave bring your own (BYO), es su responsabilidad administrar el ciclo de vida de las claves. Si la clave ha expirado, el complemento KMS no puede descifrar los secretos existentes. Para resolver este problema, debe extender la fecha de expiración de la clave para que KMS funcione y rotar la versión de la clave.

Pasos siguientes

Para obtener más información sobre el uso de KMS con AKS, consulte los siguientes artículos:

  • Last updated on