在 Kubernetes 中使用 gcloud 自加密磁盘
Use gcloud self encrypted disk with Kubernetes
我需要加密块设备上的数据,并允许 Pod 以卷的形式访问它。
我注意到现在可以在 Google 云上使用 Customer-Supplied Encryption Keys
加密新磁盘
我可以在 Kubernetes 中使用自加密磁盘并将其作为卷附加到 Pod 吗?
如果没有,是否有任何其他方法来加密块设备(例如 LUKS)并将其与 Pods 一起使用?
目前没有与此功能集成,但我们应该添加它,我提交:
https://github.com/kubernetes/kubernetes/issues/13493
目前您必须单独加密每个文件,并使用 kubernetes secrets 分发密钥来解密这些文件。
我对 Google 文档 (https://cloud.google.com/compute/docs/disks/customer-supplied-encryption) 的阅读是,安装磁盘不需要密钥。密钥仅在磁盘创建时提供。
因此,以下内容应该可以在不更改 kubernetes 的情况下工作:
- 每个 https://cloud.google.com/compute/docs/disks/customer-supplied-encryption
创建加密磁盘 "myencrypteddisk"
- 创建一个挂载名为 "myencrypteddisk" 的 GCEPD 的 pod。
- kubelet 会将磁盘挂载到 VM 上。它的计算范围应该足以执行挂载,IIUC。
我需要加密块设备上的数据,并允许 Pod 以卷的形式访问它。
我注意到现在可以在 Google 云上使用 Customer-Supplied Encryption Keys
加密新磁盘我可以在 Kubernetes 中使用自加密磁盘并将其作为卷附加到 Pod 吗?
如果没有,是否有任何其他方法来加密块设备(例如 LUKS)并将其与 Pods 一起使用?
目前没有与此功能集成,但我们应该添加它,我提交:
https://github.com/kubernetes/kubernetes/issues/13493
目前您必须单独加密每个文件,并使用 kubernetes secrets 分发密钥来解密这些文件。
我对 Google 文档 (https://cloud.google.com/compute/docs/disks/customer-supplied-encryption) 的阅读是,安装磁盘不需要密钥。密钥仅在磁盘创建时提供。
因此,以下内容应该可以在不更改 kubernetes 的情况下工作:
- 每个 https://cloud.google.com/compute/docs/disks/customer-supplied-encryption 创建加密磁盘 "myencrypteddisk"
- 创建一个挂载名为 "myencrypteddisk" 的 GCEPD 的 pod。
- kubelet 会将磁盘挂载到 VM 上。它的计算范围应该足以执行挂载,IIUC。