5.2. 为持久性卷加密创建存储类
持久性卷(PV)加密可确保租户(应用程序)之间的隔离和保密性。在使用 PV 加密前,您必须为 PV 加密创建一个存储类。
OpenShift Data Foundation 支持在 HashiCorp Vault 中存储加密密码短语。使用以下步骤创建加密的存储类,使用外部密钥管理系统(KMS)进行持久性卷加密。持久卷加密仅可用于 RBD PV。您可以通过两种不同的方式配置对 KMS 的访问:
-
使用
vaulttoken
允许用户使用令牌进行身份验证 -
使用
vaulttenantsa
(技术预览):允许用户使用 serviceaccounts 通过 Vault 进行身份验证
重要
使用 vaulttenantsa
访问 KMS 是一项技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
如需更多信息,请参阅技术预览功能支持范围。
在按照创建存储类的步骤之前,请参阅您的用例的相关先决条件部分:
5.2.1. 使用 vaulttoken
的先决条件
-
OpenShift 数据基础集群处于
Ready
状态。 在外部密钥管理系统 (KMS) 上,
- 确保存在具有令牌的策略,并且启用了 Vault 中的键值后端路径。如需更多信息,请参阅在 Vault 中启用键值和策略。
- 确保您在 Vault 服务器上使用签名的证书。
在租户命名空间中创建一个 secret,如下所示:
-
在 OpenShift Container Platform web 控制台中进入 Workloads
Secrets。 -
点 Create
Key/value secret。 -
输入 Secret Name 作为
ceph-csi-kms-token
。 -
输入 Key 作为
token
。 - 输入 Value。它是来自 Vault 的令牌。您可以单击 Browse 来选择并上传含有令牌的文件,或者直接在文本框中输入令牌。
- 点击 Create。
-
在 OpenShift Container Platform web 控制台中进入 Workloads
注意
只有在所有使用 ceph-csi-kms-token
的加密 PVC 已被删除后,才能删除令牌。
接下来,按照 第 5.2.3 节 “为 PV 加密创建存储类的步骤” 中的步骤操作。