設定檔適用性:等級 2
使用客戶管理加密金鑰 (CMEK) 透過 Cloud Key Management Service (Cloud KMS) 內管理的金鑰來加密節點啟動磁碟。
GCE 永久性磁碟在靜止時預設使用由 Google 管理的信封加密進行加密。為了提供額外的保護,使用者可以使用 Cloud KMS 管理金鑰加密金鑰。
 |
注意預設情況下,永久性磁碟在靜止時會被加密,但不會使用客戶管理的加密金鑰進行加密。預設情況下,Compute Engine 永久性磁碟 CSI 驅動程式不會在叢集中配置。
|
影響
動態配置的附加磁碟的加密需要使用自我配置的 Compute Engine Persistent Disk CSI 驅動程式 v0.5.1 或更高版本。如果正在配置具有區域叢集的
CMEK,則該叢集必須運行 GKE 1.14 或更高版本。
稽核
使用 Google Cloud 主控台:
- 前往 Kubernetes Engine,請造訪:Google Cloud Console Kubernetes Engine 頁面
- 點擊每個叢集,並點擊任何節點池。
- 在節點池詳細資訊頁面下的安全性標題中,檢查啟動磁碟加密類型是否設為客戶管理並使用所需的金鑰。
使用命令列:
要檢查客戶管理的加密金鑰(CMEK),首先定義節點池、叢集名稱、位置資訊和專案的四個變數,然後執行此命令:
gcloud container node-pools describe $NODE_POOL --cluster $CLUSTER_NAME -- location $LOCATION --project $PROJECT_ID --format="table(name, config.diskType)"
範例輸出:
NAME DISK_TYPE pool1 pd-balanced
驗證上述命令的輸出是否包含
diskType 為 pd-standard、pd-balanced 或 pd-ssd,並且 bootDiskKmsKey 已指定為所需的金鑰。補救
無法透過更新現有叢集來解決此問題。必須重新建立節點池或建立新叢集。
使用 Google Cloud 主控台:
要建立新的節點池:
- 前往 Kubernetes Engine,請造訪:Google Cloud Console Kubernetes Engine 頁面
- 選擇節點啟動磁碟 CMEK 已停用的 Kubernetes 叢集。
- 點擊新增節點池。
- 在節點部分的機器配置下,確保啟動磁碟類型為標準永久性磁碟或 SSD 永久性磁碟。
- 選擇啟用客戶管理的開機磁碟加密,並選擇要使用的 Cloud KMS 加密金鑰。
- 點擊建立。
要建立新的叢集:
- 前往 Kubernetes Engine,請造訪:Google Cloud Console Kubernetes Engine 頁面
- 點擊 CREATE 並點擊 CONFIGURE 以設定所需的叢集模式。
- 在節點池下,展開 default-pool 列表並點擊節點。
- 在設定節點設定窗格中,選擇標準永久性磁碟或 SSD 永久性磁碟作為啟動磁碟類型。
- 選取啟用客戶管理的開機磁碟加密核取方塊,然後選擇要使用的 Cloud KMS 加密金鑰。
- 根據需要配置叢集的其餘設定。
- 點擊建立。
使用命令列:
使用客戶管理的加密金鑰為節點啟動磁碟創建新的節點池,
<disk_type> 可以是 pd-standard 或 pd-ssd:gcloud container node-pools create <cluster_name> --disk-type <disk_type> -- boot-disk-kms-key projects/<key_project_id>/locations/<location>/keyRings/<ring_name>/cryptoKey s/<key_name>
使用客戶管理的加密金鑰為節點啟動磁碟創建叢集,<disk_type> 可以是 pd-standard 或 pd-ssd:
gcloud container clusters create <cluster_name> --disk-type <disk_type> -- boot-disk-kms-key projects/<key_project_id>/locations/<location>/keyRings/<ring_name>/cryptoKey s/<key_name>