我使用GCP(或AWS(的计算/网络创建并运行自己的Kubernetes集群。没有GKE,AKS。
我需要使用我的客户自己的密钥来加密动态提供的PV
客户要求意味着,我们构建自己的KMS并将其用于客户密钥。GCP(或AWS(自己的KMS是不可能的。
怎么办
例如GCP-
当我使用GCP的CSI驱动程序(pd.CSI.storage.gke.io(时,它似乎只允许GCP KMS。我需要使用自己的。
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
name: custcmk-gcpcsi-sc
provisioner: pd.csi.storage.gke.io
volumeBindingMode: WaitForFirstConsumer
allowVolumeExpansion: true
parameters:
type: pd-standard
disk-encryption-kms-key: projects/key-project-id/locations/location/keyRings/key-ring/cryptoKeys/key
当然,在上面的例子中,key是在存储类中指定的。在实际使用中,我必须为每个存储设备使用不同的客户密钥
是否可以在PVC中指定密钥?
基本上,我们的集群分布在云提供商GCP、Azure、AWS上。。,因此,我们可以使用的平台特定资源的最大范围是计算/网络。
有人成功地处理过类似的情况吗?
是否可以在PVC中指定密钥?
不幸的是,无法在PVC级别上执行此操作。
作为一种变通方法,您可以使用客户管理的加密密钥,但必须使用GCP KMS,而不是您自己构建的密钥。