当您的业务因为安全需求或法规合规要求等原因,需要对存储在云盘上的数据进行加密保护时,您可以在ACK容器集群中使用云盘加密功能,无需构建、维护和保护自己的密钥管理基础设施,即可保护数据的隐私性和自主性。
使用BYOK创建加密云盘时,系统需要使用同一地域的密钥管理服务(KMS)提供的BYOK(Bring Your Own Key)。因此,首次通过控制台或者API使用云盘加密功能之前,您必须先开通密钥管理服务。
1.创建BYOK
登录密钥管理服务控制台
创建BYOK并记录密钥ID:
2. 创建StorageClass使用BYOK
在ACK容器集群中新建StorageClass并配置encrypted: “true” kmsKeyId:
$ cat storageclass-ssd-byok.yaml
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
name: alicloud-disk-ssd-byok
parameters:
type: cloud_ssd
encrypted: "true"
kmsKeyId: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
provisioner: alicloud/disk
reclaimPolicy: Delete
$ kubectl apply -f storageclass-ssd-byok.yaml
查看StorageClass:
$ kubectl get sc
NAME PROVISIONER AGE
alicloud-disk-available alicloud/disk 19m
alicloud-disk-efficiency alicloud/disk 19m
alicloud-disk-essd alicloud/disk 19m
alicloud-disk-ssd alicloud/disk 19m
alicloud-disk-ssd-byok alicloud/disk 28s
3. 创建示例应用创建并挂载云盘
$ cat deploy.yaml
kind: PersistentVolumeClaim
apiVersion: v1
metadata:
name: disk-ssd-byok
spec:
accessModes:
- ReadWriteOnce
storageClassName: alicloud-disk-ssd-byok
resources:
requests:
storage: 20Gi
---
kind: Pod
apiVersion: v1
metadata:
name: disk-pod-ssd-byok
spec:
containers:
- name: disk-pod-byok
image: nginx
volumeMounts:
- name: disk-pvc-byok
mountPath: "/mnt"
restartPolicy: "Never"
volumes:
- name: disk-pvc-byok
persistentVolumeClaim:
claimName: disk-ssd-byok
$ kubectl apply -f deploy.yaml
查看PV:
$ kubectl get pv
NAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS CLAIM STORAGECLASS REASON AGE
d-j6c5jezzajt9ri47lvjs 20Gi RWO Delete Bound default/disk-ssd-byok alicloud-disk-ssd-byok 8s
我们可以在 ECS控制台 查看 volume id为 d-j6c5jezzajt9ri47lvjs 的云盘是否已加密:
4. 其他
更多关于云盘加密以及BYOK的介绍请参考:
https://help.aliyun.com/document_detail/107972.html
作者:流生
相关推荐: 《健身环大冒险》:健身游戏化,一个相当不错的答案丨触乐
可能是目前最好玩的健身游戏,但除此以外呢? 任天堂的健身游戏《健身环大冒险》(Ring Fit Adventure)已经发售了半个多月,销量好,评分高,还吸引了一批平时不怎么玩游戏(甚至也不怎么健身)的人,让他们产生了一种“我行我也上”的劲头。除了对健身游戏一…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
