Migrar para o Serviço de Gerenciamento de Chaves (KMS) v2 no Serviço de Kubernetes do Azure (AKS) (legado)

Importante

Este artigo se aplica a clusters usando a experiência KMS legada que precisem migrar do KMS v1 para o KMS v2. Para clusters que executam o Kubernetes versão 1.33 ou posterior, recomendamos usar a nova experiência de criptografia de dados KMS , que oferece chaves gerenciadas pela plataforma, chaves gerenciadas pelo cliente com rotação automática de chaves e uma experiência de configuração simplificada.

Neste artigo, você aprenderá a migrar para KMS v2 para clusters com versões anteriores à 1.27. A partir da versão 1.27 do AKS, ativar o recurso KMS configura o KMS v2. Com o KMS v2, você não está limitado aos 2.000 segredos suportados pelas versões anteriores do KMS. Para obter mais informações, consulte Melhorias KMS v2.

Importante

Se a versão do cluster for anterior à 1.27 e você já tiver ativado o KMS, a atualização para o cluster versão 1.27 ou posterior será bloqueada.

Desativar KMS

Desabilite KMS em um cluster existente usando o az aks update comando com o --disable-azure-keyvault-kms parâmetro.
```
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --disable-azure-keyvault-kms
```
Atualize todos os segredos usando o kubectl get secrets comando para garantir que os segredos criados anteriormente não sejam mais criptografados. Para clusters maiores, talvez você queira subdividir os segredos por namespace ou criar um script de atualização. Se o comando anterior para atualizar o KMS falhar, ainda execute o comando a seguir para evitar um estado inesperado para o plug-in KMS.
```
kubectl get secrets --all-namespaces -o json | kubectl replace -f -
```

Atualizar o cluster do AKS e ativar o KMS

Atualize o cluster do AKS para a versão 1.27 ou posterior usando o az aks upgrade comando com o --kubernetes-version parâmetro definido para a versão desejada. O exemplo a seguir atualiza para a versão 1.27.1:
```
az aks upgrade --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --kubernetes-version 1.27.1
```
Depois que a atualização for concluída, você poderá ativar o KMS para um cofre de chaves público ou privado usando um dos seguintes recursos:
- Habilitar um cofre de chaves público e KMS em um cluster do AKS existente
- Atualizar um cluster do AKS existente para ativar a criptografia KMS etcd para um cofre de chaves privado
Atualize todos os segredos usando o kubectl get secrets comando para garantir que os segredos criados anteriormente não sejam mais criptografados. Para clusters maiores, talvez você queira subdividir os segredos por namespace ou criar um script de atualização. Se o comando anterior para atualizar o KMS falhar, ainda execute o comando a seguir para evitar um estado inesperado para o plug-in KMS.
```
kubectl get secrets --all-namespaces -o json | kubectl replace -f -
```

Próximas etapas

Para obter mais informações sobre como usar KMS com AKS, consulte os seguintes artigos:

Comentários

Esta página foi útil?

Last updated on 2025-12-23