加密云硬盘存储卷

前提条件

• 您已经创建好一个集群，并且在该集群中安装CCE容器存储（Everest）。
• 已在数据加密服务（DEW）中创建可用密钥，操作详情请参见创建密钥。
• 如果您需要通过命令行创建，需要使用kubectl连接到集群，详情请参见通过kubectl连接集群。

通过控制台使用

1. 登录CCE控制台，单击集群名称进入集群。
2. 动态创建存储卷声明和存储卷。
   1. 在左侧导航栏选择“存储”，在右侧选择“存储卷声明”页签。单击右上角“创建存储卷声明 PVC”，在弹出的窗口中填写存储卷声明参数。
   2. “存储卷声明类型”选择“云硬盘”，并开启加密，并选择密钥。其余参数可根据情况按需填写，详情请参见通过动态存储卷使用云硬盘。
      图1 加密存储卷
      
   3. 单击“创建”。

3. 前往“存储卷声明”页面，查看加密云硬盘存储卷声明是否创建成功，并查看存储配置项是否显示已加密。
   图2 PVC加密
   

4. 在应用中使用加密PVC时，和使用普通PVC的方法一致。

通过kubectl自动创建加密云硬盘

1. 使用kubectl连接集群。
2. 创建 pvc-evs-auto.yaml 文件。其中参数说明可参见使用kubectl自动创建云硬盘存储。

   apiVersion: v1
   kind: PersistentVolumeClaim
   metadata:
     name: pvc-evs-auto
     namespace: default
     annotations:
       everest.io/disk-volume-type: SAS    # 云硬盘的类型
       everest.io/crypt-key-id: 37f202db-a970-4ac1-a506-e5c4f2d7ce69   # 加密密钥ID，可在数据加密服务获取
     labels:
       failure-domain.beta.kubernetes.io/region: <your_region>   # 替换为您待部署应用的节点所在的区域
       failure-domain.beta.kubernetes.io/zone: <your_zone>       # 替换为您待部署应用的节点所在的可用区
   spec:
     accessModes:
     - ReadWriteOnce               # 云硬盘必须为ReadWriteOnce
     resources:
       requests:
         storage: 10Gi             # 云硬盘大小，取值范围 1-32768
     storageClassName: csi-disk    # StorageClass类型为云硬盘

3. 执行命令创建 PVC。

   kubectl apply -f pvc-evs-auto.yaml

4. 前往“存储卷声明”页面，查看加密云硬盘存储卷声明是否创建成功，并查看存储配置项是否显示已加密。