加密臨時(shí)存儲(chǔ)空間
如果您的鏡像和業(yè)務(wù)數(shù)據(jù)帶有敏感信息,需要遵守合規(guī)要求等,可以開啟臨時(shí)存儲(chǔ)空間加密功能,以保證數(shù)據(jù)安全性和完整性,防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。本文介紹如何加密ECI Pod的臨時(shí)存儲(chǔ)空間。
功能說明
每個(gè)ECI Pod默認(rèn)提供30 GiB(可自定義增加)的臨時(shí)存儲(chǔ)空間,用于存放Pod啟動(dòng)使用的容器鏡像以及運(yùn)行Pod產(chǎn)生的業(yè)務(wù)數(shù)據(jù)等。如果您的鏡像和業(yè)務(wù)數(shù)據(jù)帶有敏感信息,需要遵守合規(guī)要求等,可以開啟臨時(shí)存儲(chǔ)空間加密功能,以保證數(shù)據(jù)安全性和完整性,防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。
創(chuàng)建ECI Pod時(shí),如果開啟了臨時(shí)存儲(chǔ)空間加密功能,ECI會(huì)自動(dòng)加密臨時(shí)存儲(chǔ)空間的數(shù)據(jù),并在讀取數(shù)據(jù)時(shí)自動(dòng)解密。加密功能采用行業(yè)標(biāo)準(zhǔn)的AES-256加密算法,使用阿里云密鑰管理服務(wù)KMS提供的服務(wù)密鑰(默認(rèn)密鑰)對數(shù)據(jù)進(jìn)行加密。
前提條件
已開通密鑰管理服務(wù)KMS。具體操作,請參見開通密鑰管理服務(wù)。
開通服務(wù)后,系統(tǒng)會(huì)自動(dòng)代您創(chuàng)建并管理服務(wù)密鑰,該密鑰可以免費(fèi)使用。
使用限制
本文提供的加密方式不適用于使用手動(dòng)創(chuàng)建鏡像緩存創(chuàng)建的ECI Pod。
配置說明
您可以在Pod metadata中添加以下Annotation來加密臨時(shí)存儲(chǔ)空間。相關(guān)Annotation說明如下:
Annotation | 示例值 | 說明 |
k8s.aliyun.com/eci-ephemeral-storage-options | "{\"encrypted\":\"true\"}" | 取值為 |
Annotation請?zhí)砑釉赑od的metadata下,例如:創(chuàng)建Deployment時(shí),Annotation需添加在spec>template>metadata下。
僅支持在創(chuàng)建ECI Pod時(shí)添加ECI相關(guān)Annotation來生效ECI功能,更新ECI Pod時(shí)添加或者修改ECI相關(guān)Annotation均不會(huì)生效。
配置示例
使用以下示例創(chuàng)建的Deployment包含1個(gè)ECI Pod,由于添加了Annotation開啟臨時(shí)存儲(chǔ)空間加密功能,因此該P(yáng)od臨時(shí)存儲(chǔ)空間內(nèi)的數(shù)據(jù)會(huì)被自動(dòng)加密,并在讀取數(shù)據(jù)時(shí)自動(dòng)解密。
apiVersion: apps/v1
kind: Deployment
metadata:
name: kms-test
labels:
app: test
spec:
replicas: 1
selector:
matchLabels:
app: test
template:
metadata:
name: kms-test
labels:
app: test
alibabacloud.com/eci: "true"
annotations:
k8s.aliyun.com/eci-ephemeral-storage-options: "{\"encrypted\":\"true\"}" # 加密臨時(shí)存儲(chǔ)空間
spec:
containers:
- name: test
image: registry-vpc.cn-beijing.aliyuncs.com/eci_open/nginx:1.4.2