設定檔適用性:等級 2
使用客戶管理加密金鑰 (CMEK) 透過雲端金鑰管理服務 (Cloud KMS) 內管理的金鑰來加密節點啟動磁碟。
GCE 永久磁碟在靜止狀態下預設使用信封加密進行加密,密鑰由 Google 管理。為了提供額外的保護,使用者可以使用雲端 KMS 管理密鑰加密密鑰。
 |
注意預設情況下,永久磁碟在靜止時已加密,但預設不使用客戶管理加密金鑰進行加密。預設情況下,Compute Engine 永久磁碟 CSI 驅動程式未在叢集中配置。
|
影響
動態配置的附加磁碟的加密需要使用自我配置的 Compute Engine Persistent Disk CSI 驅動程式 v0.5.1 或更高版本。
如果正在使用區域叢集配置 CMEK,則該叢集必須運行 GKE 1.14 或更高版本。
稽核
使用 Google 雲端主控台:
- 前往Kubernetes Engine 網站。
- 點擊每個叢集,然後點擊任何節點池。
- 在節點池詳細資料頁面下的安全性標題中,檢查啟動磁碟加密類型是否設置為客戶管理並使用所需的密鑰。
使用命令列:
執行此命令:
gcloud container node-pools describe $NODE_POOL --cluster $CLUSTER_NAME --zone $COMPUTE_ZONE
確認上述命令的輸出包含
diskType 為 pd-standard、pd-balanced 或 pd-ssd,並且 bootDiskKmsKey 已指定為所需的密鑰。補救
這無法透過更新現有叢集來修復。必須重新建立節點池或建立新的叢集。
使用 Google 雲端主控台:
要建立新的節點池:
- 前往Kubernetes Engine 網站。
- 選擇節點啟動磁碟 CMEK 已停用的 Kubernetes 叢集。
- 點擊ADD NODE POOL。
- 在節點部分的機器配置下,確保啟動磁碟類型為標準永久性磁碟或 SSD 永久性磁碟。
- 選擇Enable customer-managed encryption for Boot Disk並選擇要使用的雲端 KMS 加密金鑰。
- 點擊CREATE。
要建立新的叢集:
- 前往Kubernetes Engine 網站。
- 點擊CREATE並點擊CONFIGURE以選擇所需的叢集模式。
- 在節點池下,展開 default-pool 列表並點擊Nodes。
- 在配置節點設定窗格中,選擇Standard persistent disk或SSD Persistent Disk作為啟動磁碟類型。
- 選取Enable customer-managed encryption for Boot Disk核取方塊並選擇要使用的雲端 KMS 加密金鑰。
- 根據需要配置其餘的叢集設定。
- 點擊CREATE。
使用命令列:
使用客戶管理的加密密鑰為節點啟動磁碟創建新的節點池,
<disk_type> 可以是 pd-standard 或 pd-ssd:gcloud container node-pools create <cluster_name> --disk-type <disk_type> --boot-disk-kms-key projects/<key_project_id>/locations/<location>/keyRings/<ring_name> /cryptoKeys/<key_name>
使用客戶管理的加密金鑰為節點啟動磁碟建立叢集,
<disk_type> 可以是 pd-standard 或 pd-ssd:gcloud container clusters create <cluster_name> --disk-type <disk_type> --boot-disk-kms-key projects/<key_project_id>/locations/<location>/keyRings/<ring_name> /cryptoKeys/<key_name>