加密概述
虚拟私有云 经典基础架构 Satellite
保护您的敏感信息Red Hat® OpenShift® on IBM Cloud®通过设置密钥管理服务 (KMS) 提供程序,集群可以确保数据完整性并防止数据被泄露给未经授权的用户。
Red Hat OpenShift on IBM Cloud在您的集群中提供多层加密。 某些组件的加密由 IBM 管理,而对于其他组件,您可以选择使用自己的 KMS 提供商凭据来自行管理加密。
下表概述了以下加密选项Red Hat OpenShift on IBM Cloud簇。
组件 | 缺省情况下是否已加密? | 自带关键支持? | 启用时间 | 受支持的 KMS 提供程序 | 跨帐户支持? |
---|---|---|---|---|---|
控制平面 | 是 | 否 | 在集群创建期间。 | IBM管理Key Protect | 不适用 |
工作程序节点磁盘 | 是 | 是 | 在集群创建或工作程序池创建期间。 |
|
是 |
集群私钥 | 否 | 是 | 在使用 kms enable 创建集群之后。 |
|
仅经典和 VPC 集群支持交叉帐户。 |
持久性存储器 | 取决于存储提供商。 | 取决于提供者 | 集群创建后,设置存储器时。 |
|
取决于存储提供商。 |
控制平面
控制平面加密由IBM。
- 使用 IBM管理的密钥在 LUKS 加密驱动器上的 Red Hat OpenShift 主引导中的组件。
- 这etcd主组件存储了你的Kubernetes资源,例如部署和秘密。
- etcd 中的数据会存储在 Kubernetes 主节点的本地磁盘上,并备份到 IBM Cloud Object Storage。
- 数据在传输到 IBM Cloud Object Storage 期间和处于静态时会进行加密。
工作程序节点磁盘
连接的磁盘用于引导工作程序节点,托管容器文件系统以及存储本地拉取的映像。 加密和磁盘数因基础架构提供者而异。
- VPC 工作程序节点
- 缺省情况下,VPC 工作程序节点的一个主磁盘是由 底层 VPC 基础结构提供程序 静态加密的 AES-256 位。 您可以通过在工作池级别启用 KMS 提供商来管理工作节点的加密。 有关加密 VPC 工作程序节点磁盘的更多信息,请参阅 为 VPC 集群设置工作程序节点磁盘加密。
- 经典工作程序节点
- 主磁盘具有用于引导工作程序节点的内核映像。 此磁盘未加密。 辅助磁盘具有容器文件系统和本地拉取的映像。 此磁盘是使用 IBM管理的 LUKS 加密密钥加密的 AES 256 位,该密钥对于工作程序节点是唯一的,并存储为集群中的 Kubernetes 私钥。 重新装入或更新工作程序节点时,会轮换使用 LUKS 密钥。
- Satellite 工作程序节点
- 操作系统磁盘和辅助磁盘的加密在平台 Satellite 的 IAAS 层上进行管理。 在集群中使用的持久存储卷的加密在持久存储插件级别和支持存储设备级别进行管理。 有关存储设备或插件的加密的更多信息,请参阅设备提供者文档或存储插件文档。
集群私钥
缺省情况下,Kubernetes 私钥是 base64 编码的。 您可以通过启用密钥管理服务 (KMS) 提供程序 (例如 IBM® Key Protect for IBM Cloud® 或 Hyper Protect Crypto Services) 来进一步保护 Kubernetes 私钥和存储在私钥中的任何凭证。
为集群启用密钥管理服务 (KMS) 提供程序时,将自带根密钥。 根密钥用于加密数据加密密钥 (DEK),然后用于加密集群中的密钥。 根密钥存储在您控制的 KMS 提供程序实例中。 加密的 DEK 存储在 etcd 中,只能使用来自 KMS 提供程序的根密钥进行非加密。 有关密钥加密工作原理的更多信息,请参阅 信封加密。
查看有关集群密钥加密的以下说明。
- 使用 KMS 对集群密钥进行加密。
- 轮换根密钥后,将自动更新集群私钥。
- 可从 KMS 提供程序界面查看使用根密钥的集群。
- 如果禁用,启用或复原根密钥,那么集群会自动响应。
- 禁用根密钥将限制集群功能,直到重新启用该密钥为止。
- 删除根密钥会使集群不可用且不可恢复。
- 您一次只能在集群中启用一个 KMS 提供程序和密钥。
- 您可以切换 KMS 提供商和密钥。
- 无法禁用 KMS 提供程序加密。
要设置集群密钥加密,请参阅 设置集群机密加密。
持久性存储器
根据您使用的持久存储器类型,可以通过启用 KMS 提供程序对写入存储卷的数据进行加密。 有关可用的持久存储器和加密类型的更多信息,请参阅 了解存储选项。
后续步骤
要继续规划流程,请选择 存储选项。 如果您已准备好开始加密,请继续 创建 KMS 实例和根密钥。