AKS Edge Essentials 離線安裝的必要條件

AKS Edge Essentials 主要是設計成安裝在因特網聯機的計算機上，因為許多元件會定期更新。 不過，透過一些額外的步驟，可以在離線環境中部署 AKS Edge Essentials。

下列文章說明 AKS Edge Essentials 離線安裝所需的設定：

• Windows 憑證
• 因特網檢查
• 授權

Windows 憑證

AKS Edge Essentials 安裝程式只會安裝受信任的內容。 它會檢查所下載內容的 Authenticode 簽章，並確認所有內容在安裝之前都受信任，藉此驗證信任。 此外，用來部署叢集的 AKSEdge.psm1 PowerShell 模組和 Cmdlet 會簽署並驗證。 如此可讓您的環境安全不受到入侵下載位置的攻擊。

因此，AKS Edge Essentials 安裝程式需要安裝數個標準Microsoft根憑證和中繼憑證，並在使用者的計算機上安裝最新狀態。 如果已使用 Windows Update 將電腦保持在最新狀態，簽署憑證通常會是最新的。 如果電腦已離線，則必須透過其他方式來重新整理憑證。

在安裝系統上的一個檢查方法是遵循下列步驟：

1. 開啟提升權限的 PowerShell 工作階段。

2. 執行下列命令來 檢查Microsoft跟證書授權單位 2011 ：

   Get-ChildItem -Path Cert:\LocalMachine\Root | Where-Object {$_.Subject -like "CN=Microsoft Root Certificate Authority 2011*"}
   

   如果此電腦上安裝Microsoft跟證書授權單位 2011，您應該會看到下列輸出：

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\Root
   
   Thumbprint                                Subject
   ----------                                -------
   8F43288AD272F3103B6FB1428485EA3014C0BCFE  CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=R...
   

3. 執行下列命令來 檢查Microsoft程式代碼簽署 PCA 2011 ：

   Get-ChildItem -Path Cert:\LocalMachine\CA | Where-Object {$_.Subject -like "CN=Microsoft Code Signing PCA 2011*"}
   

   如果此電腦上安裝Microsoft程式代碼簽署 PCA 2011，您應該會看到下列輸出：

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\CA
   
   Thumbprint                                Subject
   ----------                                -------
   F252E794FE438E35ACE6E53762C0A234A2C52135  CN=Microsoft Code Signing PCA 2011, O=Microsoft Corporation, L=Redmond, S=...
   

如果Microsoft程式代碼簽署 PCA 2011 中繼憑證只位於目前使用者中繼證書存儲中，則只有已登入的使用者才能使用。 您可能需要為其他使用者安裝。

離線時安裝或重新整理憑證

在離線環境中安裝或更新憑證有兩個選項。

選項 1：手動安裝憑證，或作為腳本部署的一部分

如果您要將離線環境中的 AKS Edge Essentials 部署文稿部署到用戶端工作站，請遵循下列步驟：

1. 開啟提升權限的 PowerShell 工作階段。

2. 下載必要的憑證：

   1. MicrosoftRootCertificateAuthority2011.cer
   2. MicCodSigPCA2011.crt

3. 手動執行下列命令，或將它們新增至您的 AKS Edge Essentials 安裝腳本：

   certutil.exe -addstore -f "AuthRoot" "[download path]\MicrosoftRootCertificateAuthority2011.cer"
   
   certutil.exe -addstore -f "CA" "[download path]\MicCodSigPCA2011_2011-07-08.crt"
   

4. 若要檢查憑證是否已正確安裝，請使用 Windows 憑證一節中提供的 PowerShell 命令。

選項 2：在企業環境中散發受信任的跟證書

對於沒有最新跟證書之離線計算機的企業，系統管理員可以使用設定信任的根目錄和不允許的憑證中的指示來更新它們。

因特網檢查

在 AKS Edge Essentials 叢集的部署期間，PowerShell 部署腳本會檢查因特網連線能力。 這些檢查可確保 DNS 伺服器能夠運作、叢集能夠連線到因特網，以及如果使用者想要此專案，則可以建立 Arc 連線。 不過，在進行離線安裝時，不需要進行這些檢查，而且應該避免。

在建立部署 JSON 檔案期間，請確定您將 區段內的 Networking 參數標示InternetDisabled為 true。

設定您的網路配接器

在部署期間，AKS Edge Essentials 需要已啟用且具有正確 IP 位址、子網和預設網關屬性的適配卡。 這些值會自動填入 DHCP 環境中。 如果您要手動設定，請在開始部署之前，確定已設定這三個屬性。

授權

您可以使用大量授權模型，授權 AKS Edge Essentials 離線部署以供商業使用。 AKS Edge Essentials 是以每個裝置的每月型號進行授權和定價。 每個授權單位都會套用至叢集中的裝置。 如需更多授權資訊，請參閱 AKS Edge Essentials - 授權。

下一步

• AKS 邊緣程式集概觀
• AKS Edge Essentials 設定