更新时间:2025-01-07 GMT+08:00
加密云硬盘存储卷
云盘加密功能适用于需要高安全性或合规性要求的应用场景,可以保护数据的隐私性和自主性。本文将为您介绍如何使用数据加密服务(DEW)中管理的密钥对云盘存储卷数据进行加密。
前提条件
- 您已经创建好一个集群,并且在该集群中安装CCE容器存储(Everest)。
- 已在数据加密服务(DEW)中创建可用密钥,操作详情请参见创建密钥。
- 如果您需要通过命令行创建,需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。
通过控制台使用
- 登录CCE控制台,单击集群名称进入集群。
- 动态创建存储卷声明和存储卷。
- 在左侧导航栏选择“存储”,在右侧选择“存储卷声明”页签。单击右上角“创建存储卷声明 PVC”,在弹出的窗口中填写存储卷声明参数。
- “存储卷声明类型”选择“云硬盘”,并开启加密,并选择密钥。其余参数可根据情况按需填写,详情请参见通过动态存储卷使用云硬盘。
图1 加密存储卷
- 单击“创建”。
- 前往“存储卷声明”页面,查看加密云硬盘存储卷声明是否创建成功,并查看存储配置项是否显示已加密。
图2 PVC加密
- 在应用中使用加密PVC时,和使用普通PVC的方法一致。
通过kubectl自动创建加密云硬盘
- 使用kubectl连接集群。
- 创建 pvc-evs-auto.yaml 文件。其中参数说明可参见使用kubectl自动创建云硬盘存储。
apiVersion: v1 kind: PersistentVolumeClaim metadata: name: pvc-evs-auto namespace: default annotations: everest.io/disk-volume-type: SAS # 云硬盘的类型 everest.io/crypt-key-id: 37f202db-a970-4ac1-a506-e5c4f2d7ce69 # 加密密钥ID,可在数据加密服务获取 labels: failure-domain.beta.kubernetes.io/region: <your_region> # 替换为您待部署应用的节点所在的区域 failure-domain.beta.kubernetes.io/zone: <your_zone> # 替换为您待部署应用的节点所在的可用区 spec: accessModes: - ReadWriteOnce # 云硬盘必须为ReadWriteOnce resources: requests: storage: 10Gi # 云硬盘大小,取值范围 1-32768 storageClassName: csi-disk # StorageClass类型为云硬盘
- 执行命令创建 PVC。
kubectl apply -f pvc-evs-auto.yaml
- 前往“存储卷声明”页面,查看加密云硬盘存储卷声明是否创建成功,并查看存储配置项是否显示已加密。