如果您的鏡像和業務數據帶有敏感信息,需要遵守合規要求等,可以開啟臨時存儲空間加密功能,以保證數據安全性和完整性,防止未經授權的訪問和數據泄露。本文介紹如何加密ECI Pod的臨時存儲空間。
功能說明
每個ECI Pod默認提供30 GiB(可自定義增加)的臨時存儲空間,用于存放Pod啟動使用的容器鏡像以及運行Pod產生的業務數據等。如果您的鏡像和業務數據帶有敏感信息,需要遵守合規要求等,可以開啟臨時存儲空間加密功能,以保證數據安全性和完整性,防止未經授權的訪問和數據泄露。
創建ECI Pod時,如果開啟了臨時存儲空間加密功能,ECI會自動加密臨時存儲空間的數據,并在讀取數據時自動解密。加密功能采用行業標準的AES-256加密算法,使用阿里云密鑰管理服務KMS提供的服務密鑰(默認密鑰)對數據進行加密。
前提條件
已開通密鑰管理服務KMS。具體操作,請參見開通密鑰管理服務。
開通服務后,系統會自動代您創建并管理服務密鑰,該密鑰可以免費使用。
使用限制
本文提供的加密方式不適用于使用手動創建鏡像緩存創建的ECI Pod。
配置說明
您可以在Pod metadata中添加以下Annotation來加密臨時存儲空間。相關Annotation說明如下:
Annotation | 示例值 | 說明 |
k8s.aliyun.com/eci-ephemeral-storage-options | "{\"encrypted\":\"true\"}" | 取值為 |
Annotation請添加在Pod的metadata下,例如:創建Deployment時,Annotation需添加在spec>template>metadata下。
僅支持在創建ECI Pod時添加ECI相關Annotation來生效ECI功能,更新ECI Pod時添加或者修改ECI相關Annotation均不會生效。
配置示例
使用以下示例創建的Deployment包含1個ECI Pod,由于添加了Annotation開啟臨時存儲空間加密功能,因此該Pod臨時存儲空間內的數據會被自動加密,并在讀取數據時自動解密。
apiVersion: apps/v1
kind: Deployment
metadata:
name: kms-test
labels:
app: test
spec:
replicas: 1
selector:
matchLabels:
app: test
template:
metadata:
name: kms-test
labels:
app: test
alibabacloud.com/eci: "true"
annotations:
k8s.aliyun.com/eci-ephemeral-storage-options: "{\"encrypted\":\"true\"}" # 加密臨時存儲空間
spec:
containers:
- name: test
image: registry-vpc.cn-beijing.aliyuncs.com/eci_open/nginx:1.4.2