Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Ten artykuł dotyczy klastrów korzystających ze starszego środowiska usługi KMS, które muszą przeprowadzić migrację z usługi KMS w wersji 1 do usługi KMS w wersji 2. W przypadku klastrów z uruchomioną platformą Kubernetes w wersji 1.33 lub nowszej zalecamy użycie nowego środowiska szyfrowania danych usługi KMS , które oferuje klucze zarządzane przez platformę, klucze zarządzane przez klienta z automatyczną rotacją kluczy i uproszczone środowisko konfiguracji.
Z tego artykułu dowiesz się, jak przeprowadzić migrację do usługi KMS w wersji 2 dla klastrów z wersjami starszymi niż 1.27. Począwszy od usługi AKS w wersji 1.27, włączenie funkcji usługi KMS powoduje skonfigurowanie usługi KMS w wersji 2. Usługa KMS w wersji 2 nie jest ograniczona do 2000 tajemnic, które są obsługiwane przez wcześniejsze wersje. Aby uzyskać więcej informacji, zobacz Ulepszenia usługi KMS w wersji 2.
Ważne
Jeśli wersja klastra jest starsza niż 1.27 i jest już włączona usługa KMS, uaktualnienie do klastra w wersji 1.27 lub nowszej jest zablokowane.
Wyłączanie usługi KMS
Wyłącz usługę KMS w istniejącym klastrze, używając polecenia
az aks updatez parametrem--disable-azure-keyvault-kms.az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --disable-azure-keyvault-kmsZaktualizuj wszystkie wpisy tajne przy użyciu
kubectl get secretspolecenia , aby upewnić się, że utworzone wcześniej wpisy tajne nie są już szyfrowane. W przypadku większych klastrów warto rozdzielić wpisy tajne według przestrzeni nazw lub utworzyć skrypt aktualizacji. Jeśli poprzednie polecenie aktualizacji usługi KMS zakończy się niepowodzeniem, nadal uruchom następujące polecenie, aby uniknąć nieoczekiwanego stanu wtyczki usługi KMS.kubectl get secrets --all-namespaces -o json | kubectl replace -f -
Zaktualizuj klaster AKS i włącz KMS
Uaktualnij klaster usługi AKS do wersji 1.27 lub nowszej za pomocą polecenia
az aks upgradez parametrem--kubernetes-versionustawionym na żądaną wersję. Poniższy przykład aktualizuje do wersji1.27.1:az aks upgrade --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --kubernetes-version 1.27.1Po zakończeniu aktualizacji można włączyć usługę KMS dla publicznego lub prywatnego magazynu kluczy przy użyciu jednego z następujących zasobów:
- Włącz Azure Key Vault i usługę KMS w istniejącym klastrze AKS
- Zaktualizuj istniejący klaster AKS, aby włączyć szyfrowanie etcd przy użyciu KMS dla prywatnego magazynu kluczy
Zaktualizuj wszystkie wpisy tajne przy użyciu
kubectl get secretspolecenia , aby upewnić się, że utworzone wcześniej wpisy tajne nie są już szyfrowane. W przypadku większych klastrów warto rozdzielić wpisy tajne według przestrzeni nazw lub utworzyć skrypt aktualizacji. Jeśli poprzednie polecenie aktualizacji usługi KMS zakończy się niepowodzeniem, nadal uruchom następujące polecenie, aby uniknąć nieoczekiwanego stanu wtyczki usługi KMS.kubectl get secrets --all-namespaces -o json | kubectl replace -f -
Dalsze kroki
Aby uzyskać więcej informacji na temat korzystania z usługi KMS z usługą AKS, zobacz następujące artykuły: