8.4. 用户管理的 IBM Cloud 加密
默认情况下,在部署 OpenShift Container Platform 集群时,使用供应商管理的加密来保护以下内容:
- control plane 和计算机器的根(boot)卷
- 部署集群后置备的持久性卷(data 卷)
在安装过程中,您可以指定一个 IBM® Key Protect for IBM Cloud® (Key Protect) root 覆盖默认行为。
如果使用我们自己的 root 密钥时,您可以使用 encryptionKey
参数修改安装配置文件 (install-config.yaml
) 以指定 root 密钥的 Cloud Resource Name (CRN)。
您可以指定:
所有集群机器都使用相同的 root 密钥。要实现这一点,将密钥指定为集群默认机器配置的一部分。
当作为默认机器配置的一部分指定时,所有受管存储类都会使用此密钥更新。因此,安装后置备的数据卷也会使用此密钥加密。
- 单独的 root 密钥用于 control plane 和计算机器池。
有关 encryptionKey
参数的更多信息,请参阅 其他 IBM Cloud 配置参数。
注意
确保您已有与您的 IBM Cloud Block Storage 服务集成的 Key Protect。如需更多信息,请参阅 Key Protect 文档。
8.4.1. 后续步骤
安装 OpenShift Container Platform 集群: