重要
本文适用于运行 Kubernetes 版本 1.33 或更高版本的群集,这些群集需要从 KMS v2 迁移到新的 KMS 加密体验。 此体验提供平台管理的密钥(PMK)、客户管理的密钥(CMK)以及自动密钥轮换和简化的配置体验。
不支持从 KMS v1 迁移到平台管理的密钥或客户管理的密钥。 首先升级到 KMS v2。
使用私钥保管库的 KMS v2 需要 AKS apiserver 虚拟网络集成,而在 CMK 中不需要它。
本文介绍如何从 KMS v2 迁移,适用于版本 1.33 或更高版本的群集。 新的 KMS 体验提供增强的性能和安全功能,包括使用平台管理的密钥的选项,无需管理自己的 Azure Key Vault。
先决条件
在开始迁移之前,请确保具备:
- 运行 Kubernetes 版本 1.33.0 或更高版本的 AKS 群集。 升级 AKS。
- Azure CLI 2.73.0 或更高版本。 若要安装 Azure CLI,请转到 如何安装 Azure CLI。
-
aks-previewaz extension version 19.0.0b13 或更高版本。 - 对于 CMK 迁移:具有 Key Vault 权限的用户分配托管标识“Key Vault Crypto User”和“Key Vault Reader”。
迁移方案
新的 KMS 体验支持两个关键管理选项:
- 平台管理的密钥(PMK):Azure 自动管理加密密钥。 不需要 Key Vault 配置。
- 客户管理的密钥(CMK):提供自己的密钥保管库,并提供公共或专用网络访问。
使用公钥或私钥保管库从 KMS v2 迁移到 PMK
如果希望通过让 AKS 管理加密密钥来简化加密设置,则此迁移路径非常理想。 迁移后,KMS 不会使用客户管理的密钥保管库和密钥。
使用 az aks update 命令在现有 KMS v2 群集上启用 PMK。
az aks update \
--name $CLUSTER_NAME \
--resource-group $RESOURCE_GROUP \
--kms-infrastructure-encryption "Enabled" \
--disable-azure-keyvault-kms
使用公钥保管库从 KMS v2 迁移到 CMK
通过此迁移路径,可以继续使用现有的 Key Vault,同时获得新的 KMS 体验的好处,包括自动密钥轮换支持。
确保 Key Vault 具有以下配置:
- 已启用公用网络访问。
- 用户分配的托管标识具有“Key Vault Crypto User”和“Key Vault 读取器”角色。
使用
az aks update命令在现有 KMS v2 群集上启用 CMK。az aks update \ --name $CLUSTER_NAME \ --resource-group $RESOURCE_GROUP \ --kms-infrastructure-encryption "Enabled"
使用私钥保管库从 KMS v2 迁移到 CMK
确保 Key Vault 具有以下配置:
- 已启用专用网络访问。
- 允许受信任的Microsoft服务绕过已启用此防火墙 。
- 用户分配的托管标识具有“Key Vault Crypto User”和“Key Vault 读取器”角色。
使用支持私有密钥保管库的
az aks update命令在您现有的 KMS v2 群集上启用 CMK。az aks update \ --name $CLUSTER_NAME \ --resource-group $RESOURCE_GROUP \ --kms-infrastructure-encryption "Enabled"
重要注意事项
- 无降级:启用新的 KMS 加密后,无法禁用它或降级到 KMS v2。
- 最低版本:新的 KMS 体验需要 Kubernetes 1.33.0 或更高版本。
后续步骤
有关将 KMS 与 AKS 配合使用的详细信息,请参阅以下文章: