Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Este artículo se aplica a los clústeres que usan la experiencia heredada de KMS que necesita migrar de KMS v1 a KMS v2. En el caso de los clústeres que ejecutan la versión 1.33 o posterior de Kubernetes, se recomienda usar la nueva experiencia de cifrado de datos de KMS , que ofrece claves administradas por la plataforma, claves administradas por el cliente con rotación automática de claves y una experiencia de configuración simplificada.
En este artículo, aprenderá a migrar a KMS v2 para clústeres con versiones anteriores a la 1.27. A partir de la versión 1.27 de AKS, la activación de la característica KMS configura KMS v2. Con KMS v2, no está limitado a los 2000 secretos que admiten las versiones anteriores. Para obtener más información, consulte Mejoras de KMS v2.
Importante
Si la versión del clúster es anterior a la 1.27 y ya ha activado KMS, se bloquea la actualización a la versión 1.27 o posterior del clúster.
Desactivación de KMS
Deshabilite KMS en un clúster existente mediante el
az aks updatecomando con el--disable-azure-keyvault-kmsparámetro .az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --disable-azure-keyvault-kmsActualice todos los secretos mediante el
kubectl get secretscomando para asegurarse de que los secretos creados anteriormente ya no están cifrados. Para clústeres más grandes, es posible que quiera subdividir los secretos por espacio de nombres o crear un script de actualización. Si se produce un error en el comando anterior para actualizar KMS, ejecute el siguiente comando para evitar un estado inesperado para el complemento KMS.kubectl get secrets --all-namespaces -o json | kubectl replace -f -
Actualización del clúster de AKS y activación de KMS
Actualice el clúster de AKS a la versión 1.27 o posterior utilizando el comando
az aks upgradecon el parámetro--kubernetes-versionestablecido en la versión deseada. En el ejemplo siguiente se actualiza a la versión1.27.1:az aks upgrade --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --kubernetes-version 1.27.1Una vez completada la actualización, puede activar KMS para un almacén de claves público o privado mediante uno de los siguientes recursos:
Actualice todos los secretos mediante el
kubectl get secretscomando para asegurarse de que los secretos creados anteriormente ya no están cifrados. Para clústeres más grandes, es posible que quiera subdividir los secretos por espacio de nombres o crear un script de actualización. Si se produce un error en el comando anterior para actualizar KMS, ejecute el siguiente comando para evitar un estado inesperado para el complemento KMS.kubectl get secrets --all-namespaces -o json | kubectl replace -f -
Pasos siguientes
Para obtener más información sobre el uso de KMS con AKS, consulte los siguientes artículos: