Я пытаюсь создать PVC с зашифрованным классом хранения. Эти PVC создаются динамически. По этой ссылке - https://kubernetes.io/docs/concepts/storage/storage-classes/#gce-pd для AWS EBS существует параметр encrypted, для которого можно задать значение true или false, чтобы включить шифрование диска / тома. Пример ниже для AWS:
kind: StorageClass
apiVersion: storage.k8s.io/v1beta1
metadata:
name: ebs
provisioner: kubernetes.io/aws-ebs
parameters:
zone: "###ZONE###"
encrypted: "true"
Однако такого параметра для GCE PD в GCP нет. Есть ли способ предоставить параметр шифрования для GCE PD, чтобы полученный диск был зашифрован?
После Шифрование дисков с помощью ключей шифрования, предоставленных заказчиком:
По умолчанию Compute Engine шифрует все неактивные данные. Compute Engine обрабатывает это шифрование и управляет им без каких-либо дополнительных действий с вашей стороны. Однако, если вы хотите контролировать это шифрование и управлять им самостоятельно, вы можете предоставить свои собственные ключи шифрования.
Если вы предоставляете свои собственные ключи шифрования, Compute Engine использует ваш ключ для защиты ключей, созданных Google, используемых для шифрования и дешифрования ваших данных. Только пользователи, которые могут предоставить правильный ключ, могут использовать ресурсы, защищенные ключом шифрования, предоставленным заказчиком.
Google не хранит ваши ключи на своих серверах и не может получить доступ к вашим защищенным данным, если вы не предоставите ключ. Это также означает, что если вы забудете или потеряете свой ключ, Google не сможет восстановить ключ или восстановить данные, зашифрованные с помощью утерянного ключа.
Когда вы удаляете постоянный диск, Google отбрасывает ключи шифрования, делая данные безвозвратными. Этот процесс необратим.
Тип выданного хранилища зависит от указанных вами опций:
В случае replication-type
установлен на regional-pd
- у вас будет Региональный постоянный диск
В случае replication-type
установлен на none
- у вас будет [https://cloud.google.com/compute/docs/disks/#pdspecs)
Варианты хранения поможет вам обеспечить Zonal standard persistent disks
и Regional persistent disks
иметь:
-Шифрование в состоянии покоя: да
-Пользовательские ключи шифрования: да
Следовать Шифрование дисков с помощью ключей шифрования, предоставленных заказчиком процедура шифрования новые постоянные диски с вашим собственным ключом. Вы не можете зашифровать существующие постоянные диски своим собственным ключом.
Обратите внимание на ограничения:
Compute Engine не хранит ключи шифрования с шаблоны экземпляров, поэтому вы не можете использовать свои собственные ключи для шифрования дисков в группа управляемых экземпляров.
Надеюсь, это поможет вам разобраться в этой теме