Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
Este artigo aplica-se a clusters que utilizam a experiência legada do KMS que precisam migrar do KMS v1 para o KMS v2. Para clusters com Kubernetes versão 1.33 ou posterior, recomendamos a utilização da nova experiência de encriptação de dados KMS , que oferece chaves geridas pela plataforma, chaves geridas pelo cliente com rotação automática de chaves e uma experiência de configuração simplificada.
Neste artigo, você aprenderá a migrar para o KMS v2 para clusters com versões anteriores à 1.27. A partir da versão 1.27 do AKS, ativar o recurso KMS configura o KMS v2. Com o KMS v2, você não está limitado aos 2.000 segredos suportados pelas versões anteriores. Para obter mais informações, consulte Aprimoramentos do KMS v2.
Importante
Se a versão do cluster for anterior à 1.27 e você já tiver ativado o KMS, a atualização para a versão do cluster 1.27 ou posterior será bloqueada.
Desativar KMS
Desative o KMS em um cluster existente usando o
az aks updatecomando com o--disable-azure-keyvault-kmsparâmetro.az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --disable-azure-keyvault-kmsAtualize todos os segredos usando o
kubectl get secretscomando para garantir que os segredos criados anteriormente não sejam mais criptografados. Para clusters maiores, convém subdividir os segredos por namespace ou criar um script de atualização. Se o comando anterior para atualizar o KMS falhar, ainda execute o seguinte comando para evitar o estado inesperado do plug-in KMS.kubectl get secrets --all-namespaces -o json | kubectl replace -f -
Atualize seu cluster AKS e ative o KMS
Atualize seu cluster AKS para a versão 1.27 ou posterior usando o
az aks upgradecomando com o parâmetro definido para a--kubernetes-versionversão desejada. O exemplo a seguir atualiza para a versão1.27.1:az aks upgrade --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --kubernetes-version 1.27.1Quando a atualização for concluída, você poderá ativar o KMS para um cofre de chaves públicas ou privadas usando um dos seguintes recursos:
Atualize todos os segredos usando o
kubectl get secretscomando para garantir que os segredos criados anteriormente não sejam mais criptografados. Para clusters maiores, convém subdividir os segredos por namespace ou criar um script de atualização. Se o comando anterior para atualizar o KMS falhar, ainda execute o seguinte comando para evitar o estado inesperado do plug-in KMS.kubectl get secrets --all-namespaces -o json | kubectl replace -f -
Próximos passos
Para obter mais informações sobre como usar o KMS com o AKS, consulte os seguintes artigos:
- Atualizar o modo de cofre de chaves para um cluster do Serviço Kubernetes do Azure (AKS) com criptografia KMS etcd
- Observabilidade da criptografia etcd KMS no Azure Kubernetes Service (AKS)