开启MRS集群节点磁盘加密

在创建MRS集群时，用户可以自行选择对MRS集群节点所挂载的系统盘或者数据盘进行加密。加密系统盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中密钥管理（KMS，Key Management Service）服务提供，无需您自行构建和维护密钥管理基础设施。

当加密云硬盘挂载时，EVS访问KMS，KMS会将数据密钥DK（Data Key）发送至宿主机内存中保存，EVS加密云硬盘使用宿主机内存中的DK明文来加解密磁盘I/O。DK明文只会在您使用的ECS实例所在的宿主机内存中使用，不会以明文形式持久化存储在介质上。在KMS中设置自定义密钥不可用后，加密云硬盘仍能使用内存中的DK明文，当卸载加密云硬盘后，DK明文会被从内存中删除，无法再读写磁盘。在下次挂载该加密云硬盘时，需要先使该自定义密钥处于可用状态。

更多关于数据加密服务DEW的介绍请参考什么是数据加密服务。

关于磁盘加密更多介绍请参考云硬盘加密。

约束与限制

如需在创建MRS集群时开启磁盘加密功能，当前用户必须拥有“Security Administrator”和“KMS Administrator”权限。
系统盘加密功能仅MRS 3.3.0-LTS及之后版本支持。
仅支持在创建集群时开启磁盘加密，MRS集群创建后将无法开启该功能。

配置MRS集群节点磁盘加密

已准备用于磁盘数据加密的密钥。

进入数据加密服务DEW的管理控制台，在密钥管理中新创建一个用户磁盘加密的密钥，具体操作请参考开启MRS集群节点磁盘加密。

用户可以自行创建一个新的密钥，也可以使用系统自动生成的EVS服务默认加密密钥“evs/default”。
在自定义创建MRS集群时，开启高级配置参数。
根据实际业务需求，选择是否开启系统盘加密和数据盘加密。

图1 配置磁盘加密

打开系统盘加密或者数据盘加密后，从KMS密钥中选择一个加密密钥。单击“查看密钥列表”，进入密钥管理页面可以创建及管理密钥。

使用用户主密钥加密云硬盘，若对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，请谨慎操作。
继续配置其他MRS集群参数，完成集群创建。