Назад | Перейти на главную страницу

Динамическое шифрование PVC / класса хранения в GCP

Я пытаюсь создать PVC с зашифрованным классом хранения. Эти PVC создаются динамически. По этой ссылке - https://kubernetes.io/docs/concepts/storage/storage-classes/#gce-pd для AWS EBS существует параметр encrypted, для которого можно задать значение true или false, чтобы включить шифрование диска / тома. Пример ниже для AWS:

kind: StorageClass
apiVersion: storage.k8s.io/v1beta1
metadata:
  name: ebs
provisioner: kubernetes.io/aws-ebs
parameters:
  zone: "###ZONE###"
  encrypted: "true"

Однако такого параметра для GCE PD в GCP нет. Есть ли способ предоставить параметр шифрования для GCE PD, чтобы полученный диск был зашифрован?

После Шифрование дисков с помощью ключей шифрования, предоставленных заказчиком:

По умолчанию Compute Engine шифрует все неактивные данные. Compute Engine обрабатывает это шифрование и управляет им без каких-либо дополнительных действий с вашей стороны. Однако, если вы хотите контролировать это шифрование и управлять им самостоятельно, вы можете предоставить свои собственные ключи шифрования.

Если вы предоставляете свои собственные ключи шифрования, Compute Engine использует ваш ключ для защиты ключей, созданных Google, используемых для шифрования и дешифрования ваших данных. Только пользователи, которые могут предоставить правильный ключ, могут использовать ресурсы, защищенные ключом шифрования, предоставленным заказчиком.

Google не хранит ваши ключи на своих серверах и не может получить доступ к вашим защищенным данным, если вы не предоставите ключ. Это также означает, что если вы забудете или потеряете свой ключ, Google не сможет восстановить ключ или восстановить данные, зашифрованные с помощью утерянного ключа.

Когда вы удаляете постоянный диск, Google отбрасывает ключи шифрования, делая данные безвозвратными. Этот процесс необратим.

Тип выданного хранилища зависит от указанных вами опций:

Варианты хранения поможет вам обеспечить Zonal standard persistent disks и Regional persistent disks иметь:

-Шифрование в состоянии покоя: да

-Пользовательские ключи шифрования: да

Следовать Шифрование дисков с помощью ключей шифрования, предоставленных заказчиком процедура шифрования новые постоянные диски с вашим собственным ключом. Вы не можете зашифровать существующие постоянные диски своим собственным ключом.

Обратите внимание на ограничения:

Compute Engine не хранит ключи шифрования с шаблоны экземпляров, поэтому вы не можете использовать свои собственные ключи для шифрования дисков в группа управляемых экземпляров.

Надеюсь, это поможет вам разобраться в этой теме