Partilhar via

Observabilidade para clusters de Azure Kubernetes Service (AKS) com encriptação etcd do Key Management Service (KMS) (legacy)

Este artigo mostra como visualizar métricas de observabilidade e melhorar a observabilidade para clusters AKS com criptografia KMS etcd.

Pré-requisitos

Verifique a configuração do KMS

  • Obtenha a configuração KMS usando o az aks show comando.

    az aks show --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --query "securityProfile.azureKeyVaultKms"

    A saída é semelhante à saída de exemplo a seguir:

    ...
"securityProfile": {
  "azureKeyVaultKms": {
    "enabled": true,
    "keyId": "https://<key-vault-name>.vault.azure.net/keys/<key-name>/<key-id>",
    "keyVaultNetworkAccess": "Public",
    "keyVaultResourceId": <key-vault-resource-id>
...

Diagnosticar e resolver problemas

Como o plug-in KMS é um sidecar do kube-apiserver pod, não se pode acessá-lo diretamente. Para melhorar a observabilidade do KMS, você pode verificar o status do KMS usando o portal do Azure.

  1. No portal do Azure, navegue até o cluster AKS.
  2. No menu de serviço, selecione Diagnosticar e resolver problemas.
  3. Na barra de pesquisa, procure KMS e selecione Problemas de Integração KMS do Azure KeyVault.

Exemplo de problema

Suponha que você se depare com o seguinte problema: KeyExpired: Operation encrypt isn't allowed on an expired key.

Como o plug-in KMS do AKS atualmente só permite trazer o seu próprio cofre de chaves (BYO) e chaves, é da sua responsabilidade gerir o ciclo de vida das chaves. Se a chave tiver expirado, o plug-in KMS não conseguirá descriptografar os segredos existentes. Para resolver esse problema, você precisa estender a data de expiração da chave para fazer o KMS funcionar e girar a versão da chave.

Próximos passos

Para obter mais informações sobre como usar o KMS com o AKS, consulte os seguintes artigos:

  • Last updated on