Compartilhar via

Observabilidade para clusters do AKS (Serviço de Kubernetes do Azure) com a criptografia etcd do KMS (Serviço de Gerenciamento de Chaves) (herdada).

Este artigo mostra como exibir métricas de observabilidade e melhorar a observabilidade de clusters do AKS com criptografia KMS etcd.

Pré-requisitos

Verificar a configuração KMS

  • Obtenha a configuração KMS usando o az aks show comando.

    az aks show --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --query "securityProfile.azureKeyVaultKms"

    A saída é semelhante à seguinte saída de exemplo:

    ...
"securityProfile": {
  "azureKeyVaultKms": {
    "enabled": true,
    "keyId": "https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-id>",
    "keyVaultNetworkAccess": "Public",
    "keyVaultResourceId": <key-vault-resource-id>
...

Diagnosticar e resolver problemas

Como o plug-in KMS é um sidecar do kube-apiserver pod, você não pode acessar diretamente. Para melhorar a observabilidade do KMS, você pode verificar o status do KMS usando o portal do Azure.

  1. No portal do Azure, navegue até seu cluster do AKS.
  2. No menu de serviço, selecione Diagnosticar e resolver problemas.
  3. Na barra de pesquisa, pesquise kms e selecione problemas de integração kms do Azure KeyVault.

Problema de exemplo

Digamos que você veja o seguinte problema: KeyExpired: Operation encrypt isn't allowed on an expired key.

Como o plug-in KMS do AKS atualmente só permite trazer o seu próprio cofre de chaves e chave (BYO), é sua responsabilidade gerenciar o ciclo de vida da chave. Se a chave tiver expirado, o plug-in KMS falhará ao descriptografar os segredos existentes. Para resolver esse problema, você precisa estender a data de validade da chave para fazer o KMS funcionar e girar a versão da chave.

Próximas etapas

Para obter mais informações sobre como usar KMS com AKS, consulte os seguintes artigos:

  • Last updated on