GKE "etcd" 内部存储的信息是否加密?

Is the information stored inside GKE "etcd" encrypted?

我正在使用 GKE(Google Kubernetes Engine) 1.13.6-gke.6,我需要为 PCI purposes.
I have used --data-encryption-key flag and used a KMS key to encrypt secrets following this 文档提供 etcd 加密证据。

我需要给出一组命令来证明存储在主节点etcd中的信息是加密的。

Here 是我们验证存储在普通 Kuebrnetes 集群(非 GKE)中的秘密是否已加密的方式。

众所周知,GKE 是一项托管服务,主节点由 GCP 管理。有没有办法访问 GKE "etcd" 以查看存储的秘密和静态数据?

为什么要证明信息是加密的? GKE 包含在 Google Cloud's PCI DSS certification 中,并且因为 master 是 "cluster as a service" 的一部分,所以应该超出您需要显示的范围,因为您不(也不能)控制进入的方式实现了存储。

您可以做的一件事是使用 Application-layer Secrets Encryption to encrypt your secrets with your own key stored in Cloud KMS。对于您的秘密,您将能够 运行 命令来证明额外的加密级别。

参考:https://cloud.google.com/kubernetes-engine/docs/concepts/control-plane-security#etcd_security

在 Google 云中,客户内容默认在文件系统层加密。因此,为 GKE 集群托管 etcd 存储的磁盘在文件系统层进行了加密。有关详细信息,请参阅静态加密。