Migrer vers le service de gestion des clés (KMS) v2 dans Azure Kubernetes Service (AKS) (hérité)

Important

Cet article s’applique aux clusters utilisant l’expérience KMS héritée qui doit migrer de KMS v1 vers KMS v2. Pour les clusters exécutant Kubernetes version 1.33 ou ultérieure, nous vous recommandons d’utiliser la nouvelle expérience de chiffrement des données KMS , qui offre des clés gérées par la plateforme, des clés gérées par le client avec rotation automatique des clés et une expérience de configuration simplifiée.

Dans cet article, vous allez apprendre à migrer vers KMS v2 pour les clusters dont les versions sont antérieures à 1.27. À compter d’AKS version 1.27, l’activation de la fonctionnalité KMS configure KMS v2. Avec KMS v2, vous n’êtes pas limité aux 2 000 secrets pris en charge par les versions antérieures. Pour plus d’informations, consultez les améliorations de KMS v2.

Important

Si votre version de cluster est antérieure à la version 1.27 et que vous avez déjà activé KMS, la mise à niveau vers le cluster version 1.27 ou ultérieure est bloquée.

Désactiver KMS

Désactivez KMS sur un cluster existant à l’aide de la az aks update commande avec le --disable-azure-keyvault-kms paramètre.
```
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --disable-azure-keyvault-kms
```
Mettez à jour tous les secrets à l’aide de la kubectl get secrets commande pour vous assurer que les secrets créés précédemment ne sont plus chiffrés. Pour les clusters plus volumineux, vous souhaiterez peut-être subdiviser les secrets par espace de noms ou créer un script de mise à jour. Si la commande précédente pour mettre à jour KMS échoue, exécutez toujours la commande suivante pour éviter un état inattendu pour le plug-in KMS.
```
kubectl get secrets --all-namespaces -o json | kubectl replace -f -
```

Mettre à niveau votre cluster AKS et activer KMS

Mettez à niveau votre cluster AKS vers la version 1.27 ou ultérieure en utilisant la commande az aks upgrade avec le paramètre --kubernetes-version défini sur votre version souhaitée. L’exemple suivant met à niveau vers la version 1.27.1 :
```
az aks upgrade --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --kubernetes-version 1.27.1
```
Une fois la mise à niveau terminée, vous pouvez activer KMS pour un coffre de clés public ou privé à l’aide de l’une des ressources suivantes :
- Activer un coffre de clés public et KMS sur un cluster AKS existant
- Mettre à jour un cluster AKS existant pour activer le chiffrement KMS etcd pour un coffre de clés privé
Mettez à jour tous les secrets à l’aide de la kubectl get secrets commande pour vous assurer que les secrets créés précédemment ne sont plus chiffrés. Pour les clusters plus volumineux, vous souhaiterez peut-être subdiviser les secrets par espace de noms ou créer un script de mise à jour. Si la commande précédente pour mettre à jour KMS échoue, exécutez toujours la commande suivante pour éviter un état inattendu pour le plug-in KMS.
```
kubectl get secrets --all-namespaces -o json | kubectl replace -f -
```

Étapes suivantes

Pour plus d’informations sur l’utilisation de KMS avec AKS, consultez les articles suivants :

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-12-23