# #google-kubernetes-engine #kubernetes-pvc #google-cloud-kms
Вопрос:
В кластере GKE я шифрую динамически настроенный PV с помощью предоставленного клиентом ключа (с помощью облачных KMS). Я указываю имя ресурса KMS в классе хранения и создаю из него PVC.
Мне непонятно, какой ключ используется для шифрования данных в PV. Используется ли он непосредственно с помощью ключа, который я указываю в классе хранения, или другого ключа шифрования данных (который, в свою очередь, шифруется с использованием указанного ключа в KMS — он же шифрование конвертов)?
Ответ №1:
По умолчанию Google Cloud шифрует клиентский контент в режиме покоя, а GKE управляет шифрованием для вас без каких-либо действий с вашей стороны.
Если вы хотите самостоятельно контролировать и управлять вращением ключей шифрования, вы можете использовать CMEK. Эти ключи шифруют ключи шифрования данных, которые шифруют ваши данные. Дополнительные сведения см. в разделе Управление ключами. Вы также можете шифровать секреты в своем кластере с помощью ключей, которыми вы управляете. Дополнительные сведения см. в разделе Шифрование секретов на уровне приложений.
Для получения более подробной информации обратитесь к этой документации.
Комментарии:
1. Это не помогает. Кроме того, вопрос ориентирован на GKE, так что актуальны ли вообще облачные хранилища? В GKE можно было бы работать с PV (на основе драйвера CSI)
2. @C. Деркс. Спасибо Вам за Ваш вклад. Теперь я обновил свой ответ выводами о том, как ключи шифрования используются в GKE.
3. Я снова просмотрел ссылки, и нигде я не вижу, где четко указано, что указанный ключ KMS используется для шифрования ключей шифрования данных, которые шифруют данные PV. Ясно, что делает шифрование в оболочке, неясно, происходит ли это во время шифрования PV в GKE (а не в облачном хранилище, используемом в виртуальной машине). Шифрование прикладного уровня в GKE отличается от шифрования PV — здесь речь идет не об этом.
4. Шифрование и дешифрование содержимого диска не выполняется GKE, и ключи шифрования не хранятся в K8s или etcd. Вместо этого функции шифрования, дешифрования и управления ключами являются функциями постоянного диска GCP.