5.3. 数据加密选项
加密可让您对数据进行编码,使其在没有所需的加密密钥的情况下无法读取。通过这种机制,当物理性安全被破坏的情况下,您的数据所在的物理介质丢失时,可以保护您的数据的安全性。当数据写入到磁盘时,数据会被加密,并在从磁盘读取数据时对其进行解密。使用加密的数据可能会对性能产生较小的影响。
仅使用 OpenShift Container Storage 4.6 或更高版本部署的新集群才支持加密。没有使用外部密钥管理系统 (KMS) 的现有加密集群无法迁移为使用外部 KMS。
目前,HashiCorp Vault 是唯一支持集群范围的 KMS 和持久性卷加密的 KMS。在 OpenShift Container Storage 4.7.0 和 4.7.1 中,只支持 HashiCorp Vault Key/Value (KV) secret engine API,支持版本 1。从 OpenShift Container Storage 4.7.2 开始,支持 HashiCorp Vault KV secret 引擎 API、版本 1 和 2。
红帽与技术合作伙伴合作,将本文档作为为客户提供服务。但是,红帽不为 Hashicorp 产品提供支持。有关此产品的技术协助,请联系 Hashicorp。
5.3.1. 集群范围的加密
Red Hat OpenShift Container Storage 支持存储集群中所有磁盘和多云对象网关操作的集群范围加密 (encryption-at-rest)。OpenShift Container Storage 使用基于 Linux 统一密钥系统 (LUKS) 版本 2 的加密,其密钥大小为 512 位,以及 aes-xts-plain64 密码,其中每个设备都有不同的加密密钥。密钥使用 Kubernetes secret 或外部 KMS 存储。两种方法都是互斥的,您不能在方法之间迁移。
加密默认是禁用的。您可以在部署时为集群启用加密。如需更多信息,请参阅部署指南。
在没有密钥管理系统 (KMS) 的 OpenShift Container Storage 4.6 中支持集群范围的加密,而 OpenShift Container Storage 4.7 也支持它,且没有 KMS。
目前,HashiCorp Vault 是唯一受支持的 KMS。在 OpenShift Container Storage 4.7.0 和 4.7.1 中,只支持 HashiCorp Vault KV secret 引擎,支持 API 版本 1。从 OpenShift Container Storage 4.7.2 开始,支持 HashiCorp Vault KV secret 引擎 API、版本 1 和 2。
红帽与技术合作伙伴合作,将本文档作为为客户提供服务。但是,红帽不为 Hashicorp 产品提供支持。有关此产品的技术协助,请联系 Hashicorp。
