AI 助理
备案控制台
开发者社区 云原生 容器服务 文章 正文

阿里云容器服务ACK集群如何使用BYOK创建加密云盘

2019-09-05 3402
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 当您的业务因为安全需求或法规合规要求等原因,需要对存储在云盘上的数据进行加密保护时,您可以在ACK容器集群中使用云盘加密功能,无需构建、维护和保护自己的密钥管理基础设施,即可保护数据的隐私性和自主性。

当您的业务因为安全需求或法规合规要求等原因,需要对存储在云盘上的数据进行加密保护时,您可以在ACK容器集群中使用云盘加密功能,无需构建、维护和保护自己的密钥管理基础设施,即可保护数据的隐私性和自主性。

使用BYOK创建加密云盘时,系统需要使用同一地域的密钥管理服务(KMS)提供的BYOK(Bring Your Own Key)。因此,首次通过控制台或者API使用云盘加密功能之前,您必须先开通密钥管理服务

1. 创建BYOK

登录密钥管理服务控制台
创建BYOK并记录密钥ID:
image

2. 创建StorageClass使用BYOK

在ACK容器集群中新建StorageClass并配置encrypted: "true" kmsKeyId: <your BYOK> 使用BYOK,示例如下:

$ cat storageclass-ssd-byok.yaml
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: alicloud-disk-ssd-byok
parameters:
  type: cloud_ssd
  encrypted: "true"
  kmsKeyId: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
provisioner: alicloud/disk
reclaimPolicy: Delete
$ kubectl apply -f storageclass-ssd-byok.yaml

查看StorageClass:

$ kubectl get sc
NAME                       PROVISIONER     AGE
alicloud-disk-available    alicloud/disk   19m
alicloud-disk-efficiency   alicloud/disk   19m
alicloud-disk-essd         alicloud/disk   19m
alicloud-disk-ssd          alicloud/disk   19m
alicloud-disk-ssd-byok     alicloud/disk   28s

3. 创建示例应用创建并挂载云盘

$ cat deploy.yaml
kind: PersistentVolumeClaim
apiVersion: v1
metadata:
  name: disk-ssd-byok
spec:
  accessModes:
    - ReadWriteOnce
  storageClassName: alicloud-disk-ssd-byok
  resources:
    requests:
      storage: 20Gi
---
kind: Pod
apiVersion: v1
metadata:
  name: disk-pod-ssd-byok
spec:
  containers:
  - name: disk-pod-byok
    image: nginx
    volumeMounts:
      - name: disk-pvc-byok
        mountPath: "/mnt"
  restartPolicy: "Never"
  volumes:
    - name: disk-pvc-byok
      persistentVolumeClaim:
        claimName: disk-ssd-byok
$ kubectl apply -f deploy.yaml

查看PV:

$ kubectl get pv
NAME                     CAPACITY   ACCESS MODES   RECLAIM POLICY   STATUS   CLAIM                   STORAGECLASS             REASON   AGE
d-j6c5jezzajt9ri47lvjs   20Gi       RWO            Delete           Bound    default/disk-ssd-byok   alicloud-disk-ssd-byok            8s

我们可以在 ECS控制台 查看 volume id为 d-j6c5jezzajt9ri47lvjs 的云盘是否已加密:
image

4. 报错及解决办法

报错信息1:

provision volume with StorageClass "alicloud-disk-ssd-zones-encrypt": Aliyun API Error: RequestId: DA0DD66A-38C0-4C91-98DB-A4D0B27A783A Status Code: 403 Code: UserNotInTheWhiteList Message: The user is not in byok white list.

解决办法:
给ecs开工单添加使用权限

报错信息2:

6bc5d686-1201-11ea-83de-0a58ac160203 Failed to provision volume with StorageClass "alicloud-disk-ssd-zones-encrypt": Aliyun API Error: RequestId: 81FB907C-210F-440F-8C3E-00DEE6BF2A47 Status Code: 403 Code: InvalidParameter.KMSKeyId.KMSUnauthorized Message: ECS service have no right to access your KMS.

解决办法:
用户账号需要添加AliyunECSDiskEncryptDefaultRole

5. 其他

更多关于云盘加密以及BYOK的介绍请参考:
https://help.aliyun.com/document_detail/107972.html

文章标签:
容器服务Kubernetes版
密钥管理服务
容器计算服务
数据安全/隐私保护
容器
Perl
应用服务中间件
弹性计算
nginx
安全
API
存储
关键词:
容器服务Kubernetes版集群
阿里云容器
阿里云容器服务
阿里云容器服务Kubernetes版
阿里云容器服务ACK
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
你们的好朋友
目录
相关文章
阿里云基础设施.
|
7天前
|
人工智能 分布式计算 调度
打破资源边界、告别资源浪费:ACK One 多集群Spark和AI作业调度
ACK One多集群Spark作业调度,可以帮助您在不影响集群中正在运行的在线业务的前提下,打破资源边界,根据各集群实际剩余资源来进行调度,最大化您多集群中闲置资源的利用率。
阿里云基础设施.
58 26
码农小达人
|
20天前
|
Cloud Native Serverless 数据中心
阿里云ACK One:注册集群支持ACS算力——云原生时代的计算新引擎
阿里云ACK One:注册集群支持ACS算力——云原生时代的计算新引擎
码农小达人
25 10
技术小达人
|
16天前
|
安全 持续交付 云计算
课时5:阿里云容器服务:最原生的集成Docker和云服务
阿里云容器服务以服务化形式构建容器基础设施,大幅提升开发效率,简化应用部署流程。通过Docker容器和DevOps工具(如Jenkins),实现自动化部署与迭代,优化企业内部复杂部署问题。该服务支持GPU调度、混合云架构无缝迁移,并与阿里云产品体系无缝集成,提供安全防护、网络负载均衡等多重功能支持。凭借微服务架构,帮助企业突破业务瓶颈,提高资源利用率,轻松应对海量流量。
技术小达人
28 0
课时5:阿里云容器服务:最原生的集成Docker和云服务
探索云世界动手实践
|
22天前
|
Kubernetes 监控 Serverless
基于阿里云Serverless Kubernetes(ASK)的无服务器架构设计与实践
无服务器架构(Serverless Architecture)在云原生技术中备受关注,开发者只需专注于业务逻辑,无需管理服务器。阿里云Serverless Kubernetes(ASK)是基于Kubernetes的托管服务,提供极致弹性和按需付费能力。本文深入探讨如何使用ASK设计和实现无服务器架构,涵盖事件驱动、自动扩展、无状态设计、监控与日志及成本优化等方面,并通过图片处理服务案例展示具体实践,帮助构建高效可靠的无服务器应用。
探索云世界动手实践
70 5
技术小达人
|
18天前
|
Prometheus Kubernetes 监控
OpenAI故障复盘丨如何保障大规模K8s集群稳定性
OpenAI故障复盘丨如何保障大规模K8s集群稳定性
技术小达人
45 0
码农小达人
|
20天前
|
Kubernetes 持续交付 开发工具
阿里云协同万兴科技落地ACK One GitOps方案,全球多机房应用自动化发布,效率提升50%
阿里云协同万兴科技落地ACK One GitOps方案,全球多机房应用自动化发布,效率提升50%
码农小达人
31 2
探索云世界动手实践
|
22天前
|
监控 Kubernetes Cloud Native
基于阿里云容器服务Kubernetes版(ACK)的微服务架构设计与实践
本文介绍了如何基于阿里云容器服务Kubernetes版(ACK)设计和实现微服务架构。首先概述了微服务架构的优势与挑战,如模块化、可扩展性及技术多样性。接着详细描述了ACK的核心功能,包括集群管理、应用管理、网络与安全、监控与日志等。在设计基于ACK的微服务架构时,需考虑服务拆分、通信、发现与负载均衡、配置管理、监控与日志以及CI/CD等方面。通过一个电商应用案例,展示了用户服务、商品服务、订单服务和支付服务的具体部署步骤。最后总结了ACK为微服务架构提供的强大支持,帮助应对各种挑战,构建高效可靠的云原生应用。
探索云世界动手实践
51 1
码农小达人
|
20天前
|
弹性计算 监控 持续交付
面对热点事件,阿里云如何通过云上弹性与容器服务帮助客户应对流量洪峰
面对热点事件,阿里云如何通过云上弹性与容器服务帮助客户应对流量洪峰
码农小达人
21 0
码农小达人
|
20天前
|
边缘计算 调度 对象存储
部署DeepSeek但IDC GPU不足,阿里云ACK Edge虚拟节点来帮忙
部署DeepSeek但IDC GPU不足,阿里云ACK Edge虚拟节点来帮忙
码农小达人
28 0
探索云世界动手实践
|
20天前
|
监控 Cloud Native Java
基于阿里云容器服务(ACK)的微服务架构设计与实践
本文介绍如何利用阿里云容器服务Kubernetes版(ACK)构建高可用、可扩展的微服务架构。通过电商平台案例,展示基于Java(Spring Boot)、Docker、Nacos等技术的开发、容器化、部署流程,涵盖服务注册、API网关、监控日志及性能优化实践,帮助企业实现云原生转型。
探索云世界动手实践
37 0
云原生

容器服务

热门文章

最新文章

  • 1
    Docker 镜像加速器
  • 2
    Docker CE 镜像源站
  • 3
    在阿里云容器服务上开发基于Docker的Spring Cloud微服务应用
  • 4
    如何解决Docker容器和宿主机时间同步问题
  • 5
    阿里云容器服务K8S Ingress Controller日志采集实践
  • 6
    阿里云容器服务飞天敏捷版详解
  • 7
    容器内日志收集方案示例
  • 8
    Docker Swarm运行Spring Cloud应用(二):Eureka高可用
  • 9
    在阿里云容器服务中使用定时任务
  • 10
    在阿里云容器服务上创建Spring Boot应用之压测篇
  • 1
    Docker——阿里云服务器利用docker搭建redis集群
    57
  • 2
    Docker——阿里云服务器使用Docker部署python项目全程小记
    43
  • 3
    容器云服务是什么?
    25
  • 4
    CI/CD(六)模型训练发布-追数场景
    55
  • 5
    Docker Desktop 4.38 安装与配置全流程指南(Windows平台)
    964
  • 6
    CI/CD(五)Flink 应用部署
    61
  • 7
    多种脚本批量下载 Docker 镜像:Shell、PowerShell、Node.js 和 C#
    103
  • 8
    基于虚拟服务配置的渐进式迁移实践:Istio集群至ASM集群的平滑切换
    566
  • 9
    容器服务:智算时代云原生操作系统及月之暗面Kimi、深势科技实践分享
    161
  • 10
    canal-starter 监听解析 storeValue 不一样,同样的sql 一个在mybatis执行 一个在数据库操作,导致解析不出正确对象
    77

    • 相关产品

  • 容器服务Kubernetes版
    文档详情 产品详情

    • 相关课程

    更多
  • 阿里云 EMR on ACK 实战
  • 阿里云K8S微服务部署案例
  • Kubernetes极速入门
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • 从Docker到容器服务
  • 基于阿里云容器服务 实现Serverless服务
  • 容器加速企业创新阿里云容器服务

    • 相关实验场景

    更多
  • 通过ACK Serverless搭建企业级网站应用
  • 基于ACK Serverless实现容器应用弹性伸缩
  • 通过HTTPS加速网关快速部署网站加密
  • 在ACK Serverless中部署Stable Diffusion应用
  • 通过容器镜像仓库与容器服务快速部署spring-hello应用
  • 使用ACK Serverless容器化部署大语言模型FastChat

    • 推荐镜像

    更多
  • kubernetes
  • pouch
  • docker-ce
    • 下一篇
    获取百炼API-KEY