Безопасность в Azure Managed Kubernetes Service (AKS)

Question

Я пытаюсь получить больше документации, понимание безопасности в Azure Managed Kubernetes Service (AKS).

1. Зашифровывает ли Azure контейнеры, развернутые в кластере AKS, в состоянии «покоя»? Если да, то как достигается шифрование данных в покое и в движении?
2. Каковы способы достижения SSL / TLS в AKS, любая документация приветствуется.

Заранее спасибо

Answer 1

Я точно могу сказать, что в AKS поддерживается TLS-терминация. Я смог реализовать это.

Вход HTTPS в службу Azure Kubernetes (AKS)

Эта документация немного устарела. Вы должны использовать cert-manager вместо KUBE-LEGO.

Answer 2

Я бы приветствовал более авторитетный ответ, но, насколько я определил, управляемые диски всегда шифруются (https://azure.microsoft.com/en-us/blog/azure-managed-disks-sse/),, но рабочие узлы не шифруются по умолчанию. Необходимо запустить az vm encryption enable на каждый узел (довольно тяжелая работа, если вы масштабируете вверх и вниз!). Если вы сделаете это, вы должны быть покрыты.

Что касается SSL / TLS, Kubernetes поддерживает TLS для Ingress, см. https://kubernetes.io/docs/concepts/services-networking/ingress,, но я не проверял его в AKS. Мы используем наш собственный сервер Nginx в качестве шлюза, и при таком подходе вы можете использовать любое учебное пособие по TLS. Мы чувствуем, что таким образом у нас больше контроля.