如果您的鏡像和業務資料帶有敏感資訊,需要遵守合規要求等,可以開啟臨時儲存空間加密功能,以保證資料安全性和完整性,防止未經授權的訪問和資料泄露。本文介紹如何加密ECI Pod的臨時儲存空間。
功能說明
每個ECI Pod預設提供30 GiB(可自訂增加)的臨時儲存空間,用於存放Pod啟動使用的容器鏡像以及運行Pod產生的業務資料等。如果您的鏡像和業務資料帶有敏感資訊,需要遵守合規要求等,可以開啟臨時儲存空間加密功能,以保證資料安全性和完整性,防止未經授權的訪問和資料泄露。
建立ECI Pod時,如果開啟了臨時儲存空間加密功能,ECI會自動加密臨時儲存空間的資料,並在讀取資料時自動解密。加密功能採用行業標準的AES-256密碼編譯演算法,使用阿里雲Key Management Service提供的服務密鑰(預設密鑰)對資料進行加密。
前提條件
已開通Key Management Service。具體操作,請參見開通Key Management Service。
開通服務後,系統會自動代您建立並管理服務密鑰,該密鑰可以免費使用。
使用限制
本文提供的加密方式不適用於使用手動建立鏡像緩衝建立的ECI Pod。
配置說明
您可以在Pod metadata中添加以下Annotation來加密臨時儲存空間。相關Annotation說明如下:
Annotation | 樣本值 | 說明 |
k8s.aliyun.com/eci-ephemeral-storage-options | "{\"encrypted\":\"true\"}" | 取值為 |
Annotation請添加在Pod的metadata下,例如:建立Deployment時,Annotation需添加在spec>template>metadata下。
僅支援在建立ECI Pod時添加ECI相關Annotation來生效ECI功能,更新ECI Pod時添加或者修改ECI相關Annotation均不會生效。
配置樣本
使用以下樣本建立的Deployment包含1個ECI Pod,由於添加了Annotation開啟臨時儲存空間加密功能,因此該Pod臨時儲存空間內的資料會被自動加密,並在讀取資料時自動解密。
apiVersion: apps/v1
kind: Deployment
metadata:
name: kms-test
labels:
app: test
spec:
replicas: 1
selector:
matchLabels:
app: test
template:
metadata:
name: kms-test
labels:
app: test
alibabacloud.com/eci: "true"
annotations:
k8s.aliyun.com/eci-ephemeral-storage-options: "{\"encrypted\":\"true\"}" # 加密臨時儲存空間
spec:
containers:
- name: test
image: registry-vpc.cn-beijing.aliyuncs.com/eci_open/nginx:1.4.2