5.3. 数据加密选项
加密可让您对数据进行编码,使其在没有所需的加密密钥的情况下无法读取。通过这种机制,当物理性安全被破坏的情况下,您的数据所在的物理介质丢失时,可以保护您的数据的安全性。每个PV 加密也提供同一 OpenShift Container Platform 集群内其他命名空间的访问保护。当数据写入到磁盘时,数据会被加密,并在从磁盘读取数据时对其进行解密。使用加密的数据可能会对性能产生较小的影响。
只有使用 Red Hat OpenShift Data Foundation 4.6 或更高版本部署的新集群才支持加密。没有使用外部密钥管理系统 (KMS) 的现有加密集群无法迁移为使用外部 KMS。
目前,HashiCorp Vault 是唯一支持集群范围的 KMS 和持久性卷加密的 KMS。在 OpenShift Data Foundation 4.7.0 和 4.7.1 中,只支持 HashiCorp Vault Key/Value (KV) secret engine API,支持版本 1。从 OpenShift Data Foundation 4.7.2 开始,支持 HashiCorp Vault KV secret engine API、版本 1 和 2。
- KMS 是持久性卷(PV)加密所必需的,对于集群范围加密是可选的。
- 首先,存储类加密需要一个有效的 Red Hat OpenShift Data Foundation Advanced 订阅。如需更多信息,请参阅 OpenShift Data Foundation 订阅中的知识库文章。
5.3.1. 集群范围的加密
Red Hat OpenShift Data Foundation 支持存储集群中所有磁盘和多云对象网关操作的集群范围加密 (encryption-at-rest)。OpenShift Data Foundation 使用基于 Linux 统一密钥系统 (LUKS) 版本 2 的加密,其密钥大小为 512 位,以及 aes-xts-plain64
密码,其中每个设备都有不同的加密密钥。密钥使用 Kubernetes secret 或外部 KMS 存储。两种方法都是互斥的,您不能在方法之间迁移。
加密默认是禁用的。您可以在部署时为集群启用加密。如需更多信息,请参阅部署指南。
OpenShift Data Foundation 4.6 支持没有密钥管理系统 (KMS) 的集群范围的加密。从 OpenShift Data Foundation 4.7 开始,带有和不带有 KMS 都被支持。
需要有效的 Red Hat OpenShift Data Foundation 高级订阅。要了解 OpenShift Data Foundation 订阅如何工作,请参阅与 OpenShift Data Foundation 订阅相关的知识库文章。
目前,HashiCorp Vault 是唯一受支持的 KMS。在 OpenShift Data Foundation 4.7.0 和 4.7.1 中,只支持 HashiCorp Vault KV secret 引擎,API 版本 1。从 OpenShift Data Foundation 4.7.2 开始,支持 HashiCorp Vault KV secret engine API、版本 1 和 2。
红帽与技术合作伙伴合作,将本文档作为为客户提供服务。但是,红帽不为 Hashicorp 产品提供支持。有关此产品的技术协助,请联系 Hashicorp。