6.2. 为持久性卷加密创建存储类

流程

1. 在 OpenShift Web 控制台中，进入 Storage StorageClasses。
2. 点 Create Storage Class。
3. 输入存储类 Name 和 Description。
4. 为 Reclaim Policy 选择 Delete 或 Retain。默认情况下，选择 Delete。
5. 选择 Immediate 或 WaitForFirstConsumer 作为卷绑定模式。WaitForConsumer 设置为默认选项。
6. 选择 RBD Provisioner openshift-storage.rbd.csi.ceph.com，这是用于调配持久卷的插件。
7. 选择 存储池，其中卷数据将存储到列表中或创建新池。

8. 选中 Enable encryption 复选框。有两个选项可用来设置 KMS 连接详情：

   • Select existing KMS connection: 从下拉列表中选择现有 KMS 连接。该列表填充自 csi-kms-connection-details ConfigMap 中的连接详情。

     1. 从下拉菜单中选择 Provider。
     2. 从列表中选择给定供应商的 Key service。

   • 创建新的 KMS 连接 ：这仅适用于 vaulttoken 和 Thales CipherTrust Manager (using KMIP)。

     1. 选择 Key Management Service Provider。

     2. 如果将 Vault 选为 Key Management Service Provider，请按照以下步骤执行：

        1. 输入唯一的连接名称 , Vault 服务器的主机地址（'https://<hostname 或 ip>'），端口号和令牌。

        2. 展开 Advanced Settings，以根据您的 Vault 配置输入其他设置和证书详情：

           1. 在 后端路径中输入为 OpenShift Data Foundation 专用且唯一的 Key Value secret 路径。
           2. （可选）输入 TLS 服务器名称和 Vault Enterprise 命名空间。
           3. 上传对应的 PEM 编码证书文件，以提供 CA 证书、客户端证书和客户端私钥。
           4. 点 Save。

     3. 如果选择了 Thales CipherTrust Manager （using KMIP） 作为 Key Management Service Provider，请按照以下步骤执行：

        1. 输入一个唯一的连接名称。
        2. 在 Address 和 Port 部分中，输入 Thales CipherTrust Manager 的 IP 以及在其中启用了 KMIP 接口的端口。例如，Address: 123.34.3.2, Port: 5696。
        3. 上传 客户端证书、CA 证书和 客户端私钥。
        4. 输入在上面生成的用于加密和解密的密钥的唯一标识符。
        5. TLS Server 字段是可选的，并在没有 KMIP 端点的 DNS 条目时使用。例如，kmip_all_<port>.ciphertrustmanager.local。
     4. 点 Save。
     5. 点 Create。

9. 如果 HashiCorp Vault 设置不允许自动检测后端路径使用的 Key/Value(KV)secret 引擎 API 版本，编辑 ConfigMap 以添加 vaultBackend 参数。

   注意

   vaultBackend 是一个可选参数，添加到 configmap 中，以指定与后端路径关联的 KV secret 引擎 API 版本。确保值与为后端路径设置的 KV secret 引擎 API 版本匹配，否则可能会导致持久性卷声明(PVC)创建过程中失败。

   1. 识别新创建的存储类使用的 encryptionKMSID。

      1. 在 OpenShift Web 控制台中，导航到 Storage Storage Classes。
      2. 点 Storage class name YAML 标签页。

      3. 捕获存储类使用的 encryptionKMSID。

         Example:

         encryptionKMSID: 1-vault

         Copy to Clipboard Toggle word wrap
   2. 在 OpenShift Web 控制台中，导航到 Workloads ConfigMaps。
   3. 要查看 KMS 连接详情，请单击点击 csi-kms-connection-details。

   4. 编辑 ConfigMap。

      1. 点击 Action 菜单 (⋮) Edit ConfigMap。

      2. 根据之前标识的 encryptionKMSID 配置的后端，添加 vaultBackend 参数。

         您可以为 KV secret engine API 版本 1 分配 kv，为 KV secret engine API 版本 2 分配 kv-v2。

         Example:

          kind: ConfigMap
          apiVersion: v1
          metadata:
            name: csi-kms-connection-details
          [...]
          data:
            1-vault: |-
              {
                "encryptionKMSType": "vaulttokens",
                "kmsServiceName": "1-vault",
                [...]
                "vaultBackend": "kv-v2"
              }
            2-vault: |-
              {
                "encryptionKMSType": "vaulttenantsa",
                [...]
                "vaultBackend": "kv"
              }

         Copy to Clipboard Toggle word wrap
      3. 点 Save