更新时间:2025-08-09 GMT+08:00

开启MRS集群节点磁盘加密

在创建MRS集群时,用户可以自行选择对MRS集群节点所挂载的系统盘或者数据盘进行加密。加密系统盘使用的密钥由数据加密服务(DEW,Data Encryption Workshop)中密钥管理(KMS,Key Management Service)服务提供,无需您自行构建和维护密钥管理基础设施。

当加密云硬盘挂载时,EVS访问KMS,KMS会将数据密钥DK(Data Key)发送至宿主机内存中保存,EVS加密云硬盘使用宿主机内存中的DK明文来加解密磁盘I/O。DK明文只会在您使用的ECS实例所在的宿主机内存中使用,不会以明文形式持久化存储在介质上。在KMS中设置自定义密钥不可用后,加密云硬盘仍能使用内存中的DK明文,当卸载加密云硬盘后,DK明文会被从内存中删除,无法再读写磁盘。在下次挂载该加密云硬盘时,需要先使该自定义密钥处于可用状态。

更多关于数据加密服务DEW的介绍请参考什么是数据加密服务

关于磁盘加密更多介绍请参考云硬盘加密

约束与限制

  • 如需在创建MRS集群时开启磁盘加密功能,当前用户必须拥有“Security Administrator”和“KMS Administrator”权限。
  • 系统盘加密功能仅MRS 3.3.0-LTS及之后版本支持。
  • 仅支持在创建集群时开启磁盘加密,MRS集群创建后将无法开启该功能。

配置MRS集群节点磁盘加密

  1. 已准备用于磁盘数据加密的密钥。

    进入数据加密服务DEW的管理控制台,在密钥管理中新创建一个用户磁盘加密的密钥,具体操作请参考开启MRS集群节点磁盘加密

    用户可以自行创建一个新的密钥,也可以使用系统自动生成的EVS服务默认加密密钥“evs/default”。

  2. 自定义创建MRS集群时,开启高级配置参数。
  3. 根据实际业务需求,选择是否开启系统盘加密和数据盘加密。

    图1 配置磁盘加密

    打开系统盘加密或者数据盘加密后,从KMS密钥中选择一个加密密钥。单击“查看密钥列表”,进入密钥管理页面可以创建及管理密钥。

    使用用户主密钥加密云硬盘,若对用户主密钥执行禁用、计划删除等操作,将会导致云硬盘不可读写,甚至数据永远无法恢复,请谨慎操作。

  4. 继续配置其他MRS集群参数,完成集群创建。