加密临时存储空间

如果您的镜像和业务数据带有敏感信息,需要遵守合规要求等,可以开启临时存储空间加密功能,以保证数据安全性和完整性,防止未经授权的访问和数据泄露。本文介绍如何加密ECI Pod的临时存储空间。

功能说明

每个ECI Pod默认提供30 GiB(可自定义增加)的临时存储空间,用于存放Pod启动使用的容器镜像以及运行Pod产生的业务数据等。如果您的镜像和业务数据带有敏感信息,需要遵守合规要求等,可以开启临时存储空间加密功能,以保证数据安全性和完整性,防止未经授权的访问和数据泄露。

创建ECI Pod时,如果开启了临时存储空间加密功能,ECI会自动加密临时存储空间的数据,并在读取数据时自动解密。加密功能采用行业标准的AES-256加密算法,使用阿里云密钥管理服务KMS提供的服务密钥(默认密钥)对数据进行加密。

前提条件

已开通密钥管理服务KMS。具体操作,请参见开通密钥管理服务

说明

开通服务后,系统会自动代您创建并管理服务密钥,该密钥可以免费使用。

使用限制

本文提供的加密方式不适用于使用手动创建镜像缓存创建的ECI Pod。

配置说明

您可以在Pod metadata中添加以下Annotation来加密临时存储空间。相关Annotation说明如下:

Annotation

示例值

说明

k8s.aliyun.com/eci-ephemeral-storage-options

"{\"encrypted\":\"true\"}"

取值为"{\"encrypted\":\"true\"}"}时,表示开启临时存储空间加密功能。

重要
  • Annotation请添加在Pod的metadata下,例如:创建Deployment时,Annotation需添加在spec>template>metadata下。

  • 仅支持在创建ECI Pod时添加ECI相关Annotation来生效ECI功能,更新ECI Pod时添加或者修改ECI相关Annotation均不会生效。

配置示例

使用以下示例创建的Deployment包含1个ECI Pod,由于添加了Annotation开启临时存储空间加密功能,因此该Pod临时存储空间内的数据会被自动加密,并在读取数据时自动解密。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: kms-test
  labels:
    app: test
spec:
  replicas: 1
  selector:
    matchLabels:
      app: test
  template:
    metadata:
      name: kms-test
      labels:
        app: test
        alibabacloud.com/eci: "true"
      annotations:
        k8s.aliyun.com/eci-ephemeral-storage-options: "{\"encrypted\":\"true\"}"   # 加密临时存储空间
    spec:
      containers:
      - name: test
        image: registry-vpc.cn-beijing.aliyuncs.com/eci_open/nginx:1.4.2