如果您的镜像和业务数据带有敏感信息,需要遵守合规要求等,可以开启临时存储空间加密功能,以保证数据安全性和完整性,防止未经授权的访问和数据泄露。本文介绍如何加密ECI Pod的临时存储空间。
功能说明
每个ECI Pod默认提供30 GiB(可自定义增加)的临时存储空间,用于存放Pod启动使用的容器镜像以及运行Pod产生的业务数据等。如果您的镜像和业务数据带有敏感信息,需要遵守合规要求等,可以开启临时存储空间加密功能,以保证数据安全性和完整性,防止未经授权的访问和数据泄露。
创建ECI Pod时,如果开启了临时存储空间加密功能,ECI会自动加密临时存储空间的数据,并在读取数据时自动解密。加密功能采用行业标准的AES-256加密算法,使用阿里云密钥管理服务KMS提供的服务密钥(默认密钥)对数据进行加密。
前提条件
已开通密钥管理服务KMS。具体操作,请参见开通密钥管理服务。
开通服务后,系统会自动代您创建并管理服务密钥,该密钥可以免费使用。
使用限制
本文提供的加密方式不适用于使用手动创建镜像缓存创建的ECI Pod。
配置说明
您可以在Pod metadata中添加以下Annotation来加密临时存储空间。相关Annotation说明如下:
Annotation | 示例值 | 说明 |
k8s.aliyun.com/eci-ephemeral-storage-options | "{\"encrypted\":\"true\"}" | 取值为 |
Annotation请添加在Pod的metadata下,例如:创建Deployment时,Annotation需添加在spec>template>metadata下。
仅支持在创建ECI Pod时添加ECI相关Annotation来生效ECI功能,更新ECI Pod时添加或者修改ECI相关Annotation均不会生效。
配置示例
使用以下示例创建的Deployment包含1个ECI Pod,由于添加了Annotation开启临时存储空间加密功能,因此该Pod临时存储空间内的数据会被自动加密,并在读取数据时自动解密。
apiVersion: apps/v1
kind: Deployment
metadata:
name: kms-test
labels:
app: test
spec:
replicas: 1
selector:
matchLabels:
app: test
template:
metadata:
name: kms-test
labels:
app: test
alibabacloud.com/eci: "true"
annotations:
k8s.aliyun.com/eci-ephemeral-storage-options: "{\"encrypted\":\"true\"}" # 加密临时存储空间
spec:
containers:
- name: test
image: registry-vpc.cn-beijing.aliyuncs.com/eci_open/nginx:1.4.2