IMS服务端加密

应用场景

IMS服务端（即镜像)，是用于创建服务器或磁盘的模板，分为公共镜像、私有镜像、共享镜像、市场镜像。IMS创建私有镜像时，支持KMS加密，确保IMS服务端镜像数据安全性。

用户可以通过以下两种方式，创建加密镜像：

• 方式一：通过外部镜像文件创建加密镜像

  用户使用OBS桶中已上传的外部镜像文件创建私有镜像，可以在注册镜像时选择KMS加密及密钥完成镜像加密。

• 方式二：通过加密弹性云服务器创建加密镜像

  用户选择弹性云服务器创建私有镜像时，如果该云服务器的系统盘已加密，那么使用该云服务器创建的私有镜像也是加密的。加密镜像使用的密钥和系统盘的密钥保持一致。

本实践为您讲解如何通过KMS提供的默认密钥，为IMS镜像文件加密。

方案架构

通过KMS加密IMS镜像文件的方案流程如图1所示。

图1 加密IMS

资源与成本规划

约束条件

• 加密镜像不能共享给其他用户。
• 加密镜像不能发布到应用超市。
• 不能修改加密镜像使用的密钥。
• 加密镜像使用的密钥为禁用状态或者被删除时，该镜像无法使用。
• 对于加密镜像创建的弹性云服务器，其系统盘只能为加密状态，且磁盘密钥与镜像密钥一致。

方式一：通过外部镜像文件创建加密镜像

1. 准备符合平台要求的外部镜像文件。
   • Windows私有镜像：参考创建Windows私有镜像准备工作完成相关操作。
   • Linux私有镜像：参考创建Linux私有镜像准备工作完成相关操作。

2. 上传外部镜像文件到OBS个人桶中，请参考上传镜像文件。
3. 创建私有镜像。选择“私有镜像”页签，在页面右上角，单击“创建私有镜像”。
   • “创建方式”：选择“导入私有镜像”。
   • “镜像类型”：选择“系统盘镜像”。
   • “选择镜像文件”：选择步骤 2中保存镜像文件的桶。
   • “加密”：勾选“KMS加密”。默认为“从KMS密钥中选择”，“密钥名称”默认选择“ims/default”。
   • 其他参数：具体配置详见注册镜像。
   图2 加密配置
   

4. 使用镜像创建弹性云服务器。

   请按照通过镜像创建云服务器中的操作指导创建弹性云服务器。

   在配置参数时，需要注意以下几点：

   • “区域”：必须选择私有镜像所在的区域。
   • “规格”：在选择规格时，需要结合镜像的操作系统类型以及弹性云服务器类型与支持的操作系统版本了解支持选择的规格范围。
   • “镜像”：选择“私有镜像”，并在下拉列表中选择步骤 3中所创建的私有镜像。
   • （可选）数据盘：添加数据盘，该数据盘使用随系统盘镜像一起创建出来的数据盘镜像来创建，这样便可以将原平台虚拟机的系统盘和数据盘数据一起迁移到当前云平台。

方式二：通过加密弹性云服务器创建加密镜像

用户选择弹性云服务器创建私有镜像时，如果该云服务器的系统盘已加密，那么使用该云服务器创建的私有镜像也是加密的。镜像加密使用的密钥为创建该系统盘时使用的密钥。

1. EVS系统盘加密，详见EVS服务端加密。
2. 购买弹性云服务器，“磁盘类型”选择步骤 1中已加密的系统盘。
3. 创建私有镜像。进入IMS管理控制台，选择“私有镜像”页签，在页面右上角，单击“创建私有镜像”。
   • “创建方式”：选择“创建私有镜像”。
   • “镜像类型”：选择“系统盘镜像”。
   • “选择镜像源”：在“云服务器”列表中，选择步骤 2中购买的弹性云服务器。
   • 其他参数：具体配置详见注册镜像。
   图3 创建私有镜像

   

4. 单击“下一步”，根据界面提示完成操作。

相关操作

使用KMS加密私有镜像（API）：用户也可以通过调用IMS API接口创建加密镜像，详情请参考《镜像服务API参考》。