本文档适用于 2021 年 11 月发布的最新版本的 GKE on Azure。如需了解详情，请参阅版本说明。

通过硬件安全模块自带密钥

本主题介绍如何使用您自己的 Azure Key Vault 硬件安全模块 (HSM) 密钥对 GKE on Azure 进行静态加密。

准备工作

如需执行这些步骤，您应该熟悉 GKE on Azure 的安全架构。

如需执行这些步骤，您必须拥有以下各项：

Azure 支持的 HSM
具有 Azure 基于角色的访问权限控制权限模型的 Azure Key Vault。
导入到 Azure Key Vault 的受 HSM 保护的密钥
GKE on Azure 服务主账号，具有管理 Azure Key Vault 授权并使用提供的密钥加密数据的权限。

授予这些权限的最简单方法是为服务主账号分配 Key Vault Crypto Officer 和 User Access Administrator Azure 内置角色。

自带密钥

如需自带密钥，请执行以下步骤：

将 Azure Key Vault 密钥 ID 保存到环境变量中。

export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
    --resource-group ${RESOURCE_GROUP} --query id -otsv)"
export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"

创建集群时，在 --config-encryption-key-id 参数中传递密钥的 ID。

gcloud container azure clusters create CLUSTER_NAME \
    --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
    ...

继续执行创建集群中的步骤。

后续步骤

参阅 Azure 文档中的密钥简介。