從硬體安全性模組自備金鑰

本主題說明如何在 GKE on Azure 上,使用自己的 Azure Key Vault 硬體安全模組 (HSM) 金鑰進行待機加密。

事前準備

執行這些步驟前,請務必先熟悉 GKE on Azure 的安全性架構。

如要執行這些步驟,您必須具備下列條件:

自備金鑰

如要自備金鑰,請按照下列步驟操作:

  1. 將 Azure Key Vault 金鑰 ID 儲存至環境變數。

    export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
        --resource-group ${RESOURCE_GROUP} --query id -otsv)"
    export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"
    
  2. 建立叢集時,請在 --config-encryption-key-id 參數中傳遞金鑰的 ID。

    gcloud container azure clusters create CLUSTER_NAME \
        --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
        ...
    
  3. 繼續按照「建立叢集」一文中的步驟操作。

後續步驟

請參閱 Azure 說明文件中的「關於金鑰」。