GCP 中的動態 PVC/儲存類加密
我正在嘗試創建對儲存類進行加密的 PVC。這些 PVC 是動態創建的。根據此連結-AWS EBS 的https://kubernetes.io/docs/concepts/storage/storage-classes/#gce-pd ,有一個參數 ’encrypted’ 可以設置為 true 或 false 以啟用加密對於磁碟/卷。以下 AWS 範例:
kind: StorageClass apiVersion: storage.k8s.io/v1beta1 metadata: name: ebs provisioner: kubernetes.io/aws-ebs parameters: zone: "###ZONE###" encrypted: "true"但是,GCP 中的 GCE PD 沒有這樣的參數。有什麼方法可以為 GCE PD 提供加密參數,以便對生成的磁碟進行加密?
在使用客戶提供的加密密鑰加密磁碟之後:
預設情況下,Compute Engine 會加密所有靜態數據。Compute Engine 會為您處理和管理此加密,您無需執行任何其他操作。但是,如果您想自己控制和管理這種加密,您可以提供自己的加密密鑰。
如果您提供自己的加密密鑰,Compute Engine 會使用您的密鑰來保護 Google 生成的用於加密和解密數據的密鑰。只有能夠提供正確密鑰的使用者才能使用受客戶提供的加密密鑰保護的資源。
除非您提供密鑰,否則 Google 不會將您的密鑰儲存在其伺服器上,並且無法訪問您的受保護數據。這也意味著,如果您忘記或失去了密鑰,Google 將無法恢復密鑰或使用失去的密鑰加密的任何數據。
當您刪除永久性磁碟時,Google 會丟棄密碼密鑰,從而使數據無法恢復。這個過程是不可逆的。
已發布儲存的類型取決於您將指定的選項:
- 如果
replication-type設置為regional-pd- 您將擁有區域永久性磁碟- 如果
replication-type設置為none- 您將擁有 [ https://cloud.google.com/compute/docs/disks/#pdspecs)儲存選項將幫助您確保
Zonal standard persistent disks並Regional persistent disks擁有:
靜態加密:是
自定義加密密鑰:是
按照使用客戶提供的加密密鑰加密磁碟過程使用您自己的密鑰加密新的永久性磁碟。您無法使用自己的密鑰加密現有的永久性磁碟。
請注意限制:
Compute Engine 不會將加密密鑰與實例模板一起儲存,因此您不能使用自己的密鑰來加密託管實例組中的磁碟。
希望這能幫助你理解這個話題