阿里云容器服务ACK集群如何使用BYOK创建加密云盘-阿里云开发者社区

阿里云容器服务ACK集群如何使用BYOK创建加密云盘

2019-09-05 3677

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 当您的业务因为安全需求或法规合规要求等原因，需要对存储在云盘上的数据进行加密保护时，您可以在ACK容器集群中使用云盘加密功能，无需构建、维护和保护自己的密钥管理基础设施，即可保护数据的隐私性和自主性。

当您的业务因为安全需求或法规合规要求等原因，需要对存储在云盘上的数据进行加密保护时，您可以在ACK容器集群中使用云盘加密功能，无需构建、维护和保护自己的密钥管理基础设施，即可保护数据的隐私性和自主性。

使用BYOK创建加密云盘时，系统需要使用同一地域的密钥管理服务（KMS）提供的BYOK（Bring Your Own Key）。因此，首次通过控制台或者API使用云盘加密功能之前，您必须先开通密钥管理服务。

1. 创建BYOK

登录密钥管理服务控制台
创建BYOK并记录密钥ID：

2. 创建StorageClass使用BYOK

在ACK容器集群中新建StorageClass并配置encrypted: "true" kmsKeyId: <your BYOK> 使用BYOK，示例如下：

$ cat storageclass-ssd-byok.yaml
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: alicloud-disk-ssd-byok
parameters:
  type: cloud_ssd
  encrypted: "true"
  kmsKeyId: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
provisioner: alicloud/disk
reclaimPolicy: Delete

$ kubectl apply -f storageclass-ssd-byok.yaml

查看StorageClass：

$ kubectl get sc
NAME                       PROVISIONER     AGE
alicloud-disk-available    alicloud/disk   19m
alicloud-disk-efficiency   alicloud/disk   19m
alicloud-disk-essd         alicloud/disk   19m
alicloud-disk-ssd          alicloud/disk   19m
alicloud-disk-ssd-byok     alicloud/disk   28s

3. 创建示例应用创建并挂载云盘

$ cat deploy.yaml
kind: PersistentVolumeClaim
apiVersion: v1
metadata:
  name: disk-ssd-byok
spec:
  accessModes:
    - ReadWriteOnce
  storageClassName: alicloud-disk-ssd-byok
  resources:
    requests:
      storage: 20Gi
---
kind: Pod
apiVersion: v1
metadata:
  name: disk-pod-ssd-byok
spec:
  containers:
  - name: disk-pod-byok
    image: nginx
    volumeMounts:
      - name: disk-pvc-byok
        mountPath: "/mnt"
  restartPolicy: "Never"
  volumes:
    - name: disk-pvc-byok
      persistentVolumeClaim:
        claimName: disk-ssd-byok

$ kubectl apply -f deploy.yaml

查看PV：

$ kubectl get pv
NAME                     CAPACITY   ACCESS MODES   RECLAIM POLICY   STATUS   CLAIM                   STORAGECLASS             REASON   AGE
d-j6c5jezzajt9ri47lvjs   20Gi       RWO            Delete           Bound    default/disk-ssd-byok   alicloud-disk-ssd-byok            8s

我们可以在 ECS控制台查看 volume id为 d-j6c5jezzajt9ri47lvjs 的云盘是否已加密：

4. 报错及解决办法

报错信息1：

provision volume with StorageClass "alicloud-disk-ssd-zones-encrypt": Aliyun API Error: RequestId: DA0DD66A-38C0-4C91-98DB-A4D0B27A783A Status Code: 403 Code: UserNotInTheWhiteList Message: The user is not in byok white list.

解决办法：
给ecs开工单添加使用权限

报错信息2：

6bc5d686-1201-11ea-83de-0a58ac160203 Failed to provision volume with StorageClass "alicloud-disk-ssd-zones-encrypt": Aliyun API Error: RequestId: 81FB907C-210F-440F-8C3E-00DEE6BF2A47 Status Code: 403 Code: InvalidParameter.KMSKeyId.KMSUnauthorized Message: ECS service have no right to access your KMS.

解决办法：
用户账号需要添加AliyunECSDiskEncryptDefaultRole

5. 其他

更多关于云盘加密以及BYOK的介绍请参考：
https://help.aliyun.com/document_detail/107972.html

相关实践学习

深入解析Docker容器化技术

Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的Linux机器上，也可以实现虚拟化，容器是完全使用沙箱机制，相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用，获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道，以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。在本套课程中，我们将全面的讲解Docker技术栈，从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品：容器服务 ACK 容器服务 Kubernetes 版（简称 ACK）提供高性能可伸缩的容器应用管理能力，支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力，打造云端最佳容器化应用运行环境。了解产品详情: https://www.aliyun.com/product/kubernetes

阿里云容器服务ACK集群如何使用BYOK创建加密云盘

1. 创建BYOK

2. 创建StorageClass使用BYOK

3. 创建示例应用创建并挂载云盘

4. 报错及解决办法

5. 其他

容器服务

热门文章

最新文章

相关产品

相关课程

相关电子书

推荐镜像