阿里云容器服务ACK集群如何使用BYOK创建加密云盘,阿里云ack架构-ESG跨境

阿里云容器服务ACK集群如何使用BYOK创建加密云盘,阿里云ack架构

阿里云容器服务ACK集群如何使用BYOK创建加密云盘

当您的业务因为安全需求或法规合规要求等原因，需要对存储在云盘上的数据进行加密保护时，您可以在ACK容器集群中使用云盘加密功能，无需构建、维护和保护自己的密钥管理基础设施，即可保护数据的隐私性和自主性。

使用BYOK创建加密云盘时，系统需要使用同一地域的密钥管理服务（KMS）提供的BYOK（Bring Your Own Key）。因此，首次通过控制台或者API使用云盘加密功能之前，您必须先开通密钥管理服务。

1.创建BYOK

登录密钥管理服务控制台创建BYOK并记录密钥ID：

2. 创建StorageClass使用BYOK

在ACK容器集群中新建StorageClass并配置encrypted: truekmsKeyId: your BYOK使用BYOK，示例如下：

$ cat storageclassssdbyok.yamlapiVersion: storage.k8s.io/v1kind: StorageClassmetadata: name: aliclouddiskssdbyokparameters: type: cloudssd encrypted: true kmsKeyId: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxprovisioner: alicloud/diskreclaimPolicy: Delete$ kubectl apply f storageclassssdbyok.yaml

查看StorageClass：

$ kubectl get scNAME            PROVISIONER   AGEaliclouddiskavailable  alicloud/disk  19maliclouddiskefficiency  alicloud/disk  19maliclouddiskessd     alicloud/disk  19maliclouddiskssd     alicloud/disk  19maliclouddiskssdbyok   alicloud/disk  28s

3. 创建示例应用创建并挂载云盘

$ cat deploy.yamlkind: PersistentVolumeClaimapiVersion: v1metadata: name: diskssdbyokspec: accessModes:   ReadWriteOnce storageClassName: aliclouddiskssdbyok resources:  requests:   storage: 20Gikind: PodapiVersion: v1metadata: name: diskpodssdbyokspec: containers: name: diskpodbyok  image: nginx  volumeMounts:   name: diskpvcbyok    mountPath: /mnt restartPolicy: Never volumes:   name: diskpvcbyok   persistentVolumeClaim:    claimName: diskssdbyok$ kubectl apply f deploy.yaml

查看PV：

$ kubectl get pvNAME           CAPACITY  ACCESS MODES  RECLAIM POLICY  STATUS  CLAIM          STORAGECLASS       REASON  AGEdj6c5jezzajt9ri47lvjs  20Gi    RWO      Delete      Bound  default/diskssdbyok  aliclouddiskssdbyok      8s

我们可以在ECS控制台查看 volume id为dj6c5jezzajt9ri47lvjs的云盘是否已加密：

4. 其他

更多关于云盘加密以及BYOK的介绍请参考：https://help.aliyun.com/documentdetail/107972.html

作者：流生

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。