Profilanwendbarkeit: Stufe 2
Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK), um die Startfestplatten
der Knoten mit Schlüsseln zu verschlüsseln, die innerhalb des Cloud Key Management
Service (Cloud KMS) verwaltet werden.
GCE-Persistent Disks werden standardmäßig im Ruhezustand durch Umschlagverschlüsselung
mit von Google verwalteten Schlüsseln verschlüsselt. Für zusätzlichen Schutz können
Benutzer die Schlüsselverschlüsselungsschlüssel mit Cloud KMS verwalten.
 |
HinweisStandardmäßig sind persistente Festplatten im Ruhezustand verschlüsselt, jedoch nicht
standardmäßig mit kundengesteuerten Verschlüsselungsschlüsseln verschlüsselt. Der
Compute Engine Persistent Disk CSI-Treiber wird standardmäßig nicht innerhalb des
Clusters bereitgestellt.
|
Auswirkung
Die Verschlüsselung von dynamisch bereitgestellten angeschlossenen Festplatten erfordert
die Verwendung des selbst bereitgestellten Compute Engine Persistent Disk CSI-Treibers
v0.5.1 oder höher. Wenn CMEK mit einem regionalen Cluster konfiguriert wird, muss
der Cluster GKE 1.14 oder höher ausführen.
Prüfung
Verwendung der Google Cloud Console:
- Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen
- Klicken Sie auf jeden Cluster und auf beliebige Node-Pools.
- Auf der Seite mit den Details zum Node-Pool, unter der Überschrift Sicherheit, überprüfen Sie, ob der Verschlüsselungstyp der Boot-Disk auf Kundenverwaltet mit dem gewünschten Schlüssel eingestellt ist.
Verwendung der Befehlszeile:
Um die von Kunden verwalteten Verschlüsselungsschlüssel (CMEK) zu überprüfen, definieren
Sie zuerst 4 Variablen für Node Pool, Clustername, Standort und Projekt und führen
Sie dann diesen Befehl aus:
gcloud container node-pools describe $NODE_POOL --cluster $CLUSTER_NAME -- location $LOCATION --project $PROJECT_ID --format="table(name, config.diskType)"
Beispielausgabe:
NAME DISK_TYPE pool1 pd-balanced
Überprüfen Sie, dass die Ausgabe des obigen Befehls einen
diskType von entweder pd-standard, pd-balanced oder pd-ssd enthält und der bootDiskKmsKey als der gewünschte Schlüssel angegeben ist.Wiederherstellung
Dies kann nicht durch das Aktualisieren eines bestehenden Clusters behoben werden.
Der Knotenpool muss entweder neu erstellt oder ein neuer Cluster erstellt werden.
Verwendung der Google Cloud Console:
Um einen neuen Knotenpool zu erstellen:
- Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen
- Wählen Sie Kubernetes-Cluster aus, für die der CMEK für den Startdatenträger des Knotens deaktiviert ist.
- Klicken Sie auf NODE POOL HINZUFÜGEN.
- Im Abschnitt Knoten, unter Maschinenkonfiguration, stellen Sie sicher, dass der Startdatenträgertyp Standard-Persistent-Datenträger oder SSD-Persistent-Datenträger ist.
- Wählen Sie Kundenverwaltete Verschlüsselung für das Startlaufwerk aktivieren und wählen Sie den zu verwendenden Cloud KMS-Verschlüsselungsschlüssel aus.
- Klicken Sie auf ERSTELLEN.
Um einen neuen Cluster zu erstellen:
- Gehen Sie zu Kubernetes Engine, indem Sie die Google Cloud Console Kubernetes Engine-Seite besuchen
- Klicken Sie auf ERSTELLEN und dann auf KONFIGURIEREN für den erforderlichen Clustermodus.
- Unter KNOTENPOOLS die Liste default-pool erweitern und auf Knoten klicken.
- Im Bereich "Knoten-Einstellungen konfigurieren" wählen Sie "Standard-Persistent-Disk" oder "SSD-Persistent-Disk" als Boot-Disk-Typ aus.
- Aktivieren Sie das Kontrollkästchen "Kundengesteuerte Verschlüsselung für Boot-Disk aktivieren" und wählen Sie den zu verwendenden Cloud KMS-Verschlüsselungsschlüssel aus.
- Konfigurieren Sie die restlichen Cluster-Einstellungen nach Bedarf.
- Klicken Sie auf ERSTELLEN.
Verwendung der Befehlszeile:
Erstellen Sie einen neuen Node-Pool mit kundengesteuerten Verschlüsselungsschlüsseln
für die Node-Boot-Disk, vom
<disk_type> entweder pd-standard oder pd-ssd:gcloud container node-pools create <cluster_name> --disk-type <disk_type> -- boot-disk-kms-key projects/<key_project_id>/locations/<location>/keyRings/<ring_name>/cryptoKey s/<key_name>
Erstellen Sie einen Cluster mit kundengesteuerten Verschlüsselungsschlüsseln für die
Startfestplatte des Knotens, vom <disk_type> entweder pd-standard oder pd-ssd:
gcloud container clusters create <cluster_name> --disk-type <disk_type> -- boot-disk-kms-key projects/<key_project_id>/locations/<location>/keyRings/<ring_name>/cryptoKey s/<key_name>