全部產品
Search
文件中心

Elastic Container Instance:加密臨時儲存空間

更新時間:Jul 06, 2024

如果您的鏡像和業務資料帶有敏感資訊,需要遵守合規要求等,可以開啟臨時儲存空間加密功能,以保證資料安全性和完整性,防止未經授權的訪問和資料泄露。本文介紹如何加密ECI Pod的臨時儲存空間。

功能說明

每個ECI Pod預設提供30 GiB(可自訂增加)的臨時儲存空間,用於存放Pod啟動使用的容器鏡像以及運行Pod產生的業務資料等。如果您的鏡像和業務資料帶有敏感資訊,需要遵守合規要求等,可以開啟臨時儲存空間加密功能,以保證資料安全性和完整性,防止未經授權的訪問和資料泄露。

建立ECI Pod時,如果開啟了臨時儲存空間加密功能,ECI會自動加密臨時儲存空間的資料,並在讀取資料時自動解密。加密功能採用行業標準的AES-256密碼編譯演算法,使用阿里雲Key Management Service提供的服務密鑰(預設密鑰)對資料進行加密。

前提條件

已開通Key Management Service。具體操作,請參見開通Key Management Service

說明

開通服務後,系統會自動代您建立並管理服務密鑰,該密鑰可以免費使用。

使用限制

本文提供的加密方式不適用於使用手動建立鏡像緩衝建立的ECI Pod。

配置說明

您可以在Pod metadata中添加以下Annotation來加密臨時儲存空間。相關Annotation說明如下:

Annotation

樣本值

說明

k8s.aliyun.com/eci-ephemeral-storage-options

"{\"encrypted\":\"true\"}"

取值為"{\"encrypted\":\"true\"}"}時,表示開啟臨時儲存空間加密功能。

重要
  • Annotation請添加在Pod的metadata下,例如:建立Deployment時,Annotation需添加在spec>template>metadata下。

  • 僅支援在建立ECI Pod時添加ECI相關Annotation來生效ECI功能,更新ECI Pod時添加或者修改ECI相關Annotation均不會生效。

配置樣本

使用以下樣本建立的Deployment包含1個ECI Pod,由於添加了Annotation開啟臨時儲存空間加密功能,因此該Pod臨時儲存空間內的資料會被自動加密,並在讀取資料時自動解密。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: kms-test
  labels:
    app: test
spec:
  replicas: 1
  selector:
    matchLabels:
      app: test
  template:
    metadata:
      name: kms-test
      labels:
        app: test
        alibabacloud.com/eci: "true"
      annotations:
        k8s.aliyun.com/eci-ephemeral-storage-options: "{\"encrypted\":\"true\"}"   # 加密臨時儲存空間
    spec:
      containers:
      - name: test
        image: registry-vpc.cn-beijing.aliyuncs.com/eci_open/nginx:1.4.2