阿里云容器服務ACK集群如何使用BYOK創建加密云盤,阿里云ack架構阿里云容器服務ACK集群如何使用BYOK創建加密云盤當您的業務因為安全需求或法規合規要求等原因,需要對存儲在云盤上的數據進行加密保護時,您可以在ACK容器集群中使用云盤加密功能,無需構建、維護和保護自己的密鑰管理基礎設施,即可保護數據的隱私性和自主性......
當您的業務因為安全需求或法規合規要求等原因,需要對存儲在云盤上的數據進行加密保護時,您可以在ACK容器集群中使用云盤加密功能,無需構建、維護和保護自己的密鑰管理基礎設施,即可保護數據的隱私性和自主性。
使用BYOK創建加密云盤時,系統需要使用同一地域的密鑰管理服務(KMS)提供的BYOK(Bring Your Own Key)。因此,首次通過控制臺或者API使用云盤加密功能之前,您必須先開通密鑰管理服務。
1.創建BYOK
登錄密鑰管理服務控制臺創建BYOK并記錄密鑰ID:
在ACK容器集群中新建StorageClass并配置encrypted: truekmsKeyId: your BYOK使用BYOK,示例如下:
$ cat storageclassssdbyok.yamlapiVersion: storage.k8s.io/v1kind: StorageClassmetadata: name: aliclouddiskssdbyokparameters: type: cloudssd encrypted: true kmsKeyId: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxprovisioner: alicloud/diskreclaimPolicy: Delete$ kubectl apply f storageclassssdbyok.yaml
查看StorageClass:
$ kubectl get scNAME PROVISIONER AGEaliclouddiskavailable alicloud/disk 19maliclouddiskefficiency alicloud/disk 19maliclouddiskessd alicloud/disk 19maliclouddiskssd alicloud/disk 19maliclouddiskssdbyok alicloud/disk 28s
$ cat deploy.yamlkind: PersistentVolumeClaimapiVersion: v1metadata: name: diskssdbyokspec: accessModes: ReadWriteOnce storageClassName: aliclouddiskssdbyok resources: requests: storage: 20Gikind: PodapiVersion: v1metadata: name: diskpodssdbyokspec: containers: name: diskpodbyok image: nginx volumeMounts: name: diskpvcbyok mountPath: /mnt restartPolicy: Never volumes: name: diskpvcbyok persistentVolumeClaim: claimName: diskssdbyok$ kubectl apply f deploy.yaml
查看PV:
$ kubectl get pvNAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS CLAIM STORAGECLASS REASON AGEdj6c5jezzajt9ri47lvjs 20Gi RWO Delete Bound default/diskssdbyok aliclouddiskssdbyok 8s
我們可以在ECS控制臺查看 volume id為dj6c5jezzajt9ri47lvjs的云盤是否已加密:
更多關于云盤加密以及BYOK的介紹請參考:https://help.aliyun.com/documentdetail/107972.html
作者:流生
特別聲明:以上文章內容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部