Profilanwendbarkeit: Stufe 2
Verwenden Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK), um die Startlaufwerke
der Knoten mit Schlüsseln zu verschlüsseln, die im Cloud Key Management Service (Cloud
KMS) verwaltet werden.
GCE-Persistent Disks werden standardmäßig im Ruhezustand mit Umschlagverschlüsselung
verschlüsselt, wobei die Schlüssel von Google verwaltet werden. Für zusätzlichen Schutz
können Benutzer die Verschlüsselungsschlüssel mit Cloud KMS verwalten.
 |
HinweisPersistente Festplatten sind standardmäßig im Ruhezustand verschlüsselt, aber nicht
standardmäßig mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsselt.
Standardmäßig wird der Compute Engine Persistent Disk CSI-Treiber nicht innerhalb
des Clusters bereitgestellt.
|
Auswirkung
Die Verschlüsselung von dynamisch bereitgestellten angeschlossenen Festplatten erfordert
die Verwendung des selbst bereitgestellten Compute Engine Persistent Disk CSI-Treibers
v0.5.1 oder höher.
Wenn CMEK mit einem regionalen Cluster konfiguriert wird, muss der Cluster GKE 1.14
oder höher ausführen.
Prüfung
Verwendung der Google Cloud Console:
- Gehen Sie zur Kubernetes Engine-Website.
- Klicken Sie auf jeden Cluster und dann auf beliebige Knotenpools.
- Auf der Seite mit den Details zum Knotenpool, unter der Überschrift Sicherheit, überprüfen Sie, dass der Verschlüsselungstyp der Startdisk auf Kundenverwaltet mit dem gewünschten Schlüssel eingestellt ist.
Verwendung der Befehlszeile:
Führen Sie diesen Befehl aus:
gcloud container node-pools describe $NODE_POOL --cluster $CLUSTER_NAME --zone $COMPUTE_ZONE
Überprüfen Sie, ob die Ausgabe des obigen Befehls ein
diskType von entweder pd-standard, pd-balanced oder pd-ssd enthält, und ob das bootDiskKmsKey als gewünschter Schlüssel angegeben ist.Wiederherstellung
Dies kann nicht durch das Aktualisieren eines bestehenden Clusters behoben werden.
Der Knotenpool muss entweder neu erstellt oder ein neuer Cluster erstellt werden.
Verwendung der Google Cloud Console:
Um einen neuen Knotenpool zu erstellen:
- Gehen Sie zur Kubernetes Engine-Website.
- Wählen Sie Kubernetes-Cluster aus, für die die CMEK des Startdatenträgers deaktiviert ist.
- Klicken Sie auf ADD NODE POOL.
- Im Abschnitt Knoten, unter Maschinenkonfiguration, stellen Sie sicher, dass der Boot-Disk-Typ Standard-Persistent-Disk oder SSD-Persistent-Disk ist.
- Wählen Sie Enable customer-managed encryption for Boot Disk und wählen Sie den Cloud KMS Verschlüsselungsschlüssel aus, der verwendet werden soll.
- Klicken Sie auf CREATE.
Um einen neuen Cluster zu erstellen:
- Gehen Sie zur Kubernetes Engine-Website.
- Klicken Sie auf CREATE und dann auf CONFIGURE, um den erforderlichen Clustermodus auszuwählen.
- Unter KNOTENPOOLS die Liste default-pool erweitern und auf Nodes klicken.
- Im Bereich Knoten-Einstellungen konfigurieren wählen Sie Standard persistent disk oder SSD Persistent Disk als Boot-Disk-Typ aus.
- Wählen Sie das Kontrollkästchen Enable customer-managed encryption for Boot Disk und wählen Sie den zu verwendenden Cloud KMS Verschlüsselungsschlüssel aus.
- Konfigurieren Sie die restlichen Cluster-Einstellungen nach Bedarf.
- Klicken Sie auf CREATE.
Verwendung der Befehlszeile:
Erstellen Sie einen neuen Knotenpool unter Verwendung von kundengesteuerten Verschlüsselungsschlüsseln
für die Knoten-Boot-Disk, von
<disk_type> entweder pd-standard oder pd-ssd:gcloud container node-pools create <cluster_name> --disk-type <disk_type> --boot-disk-kms-key projects/<key_project_id>/locations/<location>/keyRings/<ring_name> /cryptoKeys/<key_name>
Erstellen Sie einen Cluster mit kundengesteuerten Verschlüsselungsschlüsseln für die
Startdiskette des Knotens, von
<disk_type> entweder pd-standard oder pd-ssd:gcloud container clusters create <cluster_name> --disk-type <disk_type> --boot-disk-kms-key projects/<key_project_id>/locations/<location>/keyRings/<ring_name> /cryptoKeys/<key_name>