c2VjcmV0IGlzIHNlY3VyZQ== - aescbc: {} - secretbox: {} ### Kubernetes secrets: 1.10 KMS plugins ## Master etcd  SECRET $ _{DEK} $ KMS  KEK kube-apiserver kms-plugin ## Google Cloud - Encrypt secrets with then encrypted with a centrally managed key - EncryptionConfig uses aescbc with a KMS provider • Sidecar pod for the KMS plugin ## Terminology and Notation DEK Data encryption key KEK {SECRET}DEK {DEK}

API Server prior to use ## KMS Encryption Provider  • Encryption keys stored in a remote KMS • Use envelope encryption MANAGER Intel SGX AMD SEV Arm TZ Hacker ## TEE-based KMS Plugin $ ^{[1]} $ ## • Address performance & latency concerns • Reduce / minimize remote KMS interactions w/o compromising security ## • Address Address security threats • etcd compromise • Host (KMS plugin) compromise ➢ leak DEKs ➤ leak KEKs  KEK Cache (optional

Hat OpenShift Data Foundation 4.6 或更高版本部署的新集群才支持加密。没有使用外部密钥管理系统 (KMS) 的现有加密集群无法迁移为使用外部 KMS。 以前，HashiCorp Vault 是唯一支持集群范围的 KMS 和持久性卷加密的 KMS。在 OpenShift Data Foundation 4.7.0 和 4.7.1 中，只支持 HashiCorp Vault Foundation 4.12 开始，Thales CipherTrust Manager 已被作为额外支持的 KMS 被引进。  ## 重要 KMS 是 StorageClass 加密所必需的，对于集群范围的加密，它是可选的。 - 首先，存储类加密需要一个有效的 密码，其中每个设备都有不同的加密密钥。密钥使用 Kubernetes secret 或外部 KMS 存储。两种方法都是互斥的，您不能在方法之间迁移。 对于块存储和文件存储，默认会禁用加密。您可以在部署时为集群启用加密。MultiCloud 对象网关默认支持加密。如需更多信息，请参阅部署指南。 集群范围内的加密在没有 Key Management System (KMS) 的 OpenShift Data Foundation 4

秘钥管理 • 支持外部的KMS服务 • Master key保存于KMS中 • Master key不会出KMS • 加密的major key会被送进KMS中，由master key来解密，KMS只返回解密后的Major key. • 所有的object keys和major keys 存储于数据库本地. ## GPDB透明加密解析 三层key结构 In KMS Master Key p35_2.jpg) In DATABASE Object Keys Encrypted Files ## GPDB透明加密解析 工作流程 Memory Memory/Client KMS  Master key  ![Image](/uploa

Container Platform 集群中的 hostPath 卷将主机节点的文件系统中的文件或目录挂载到 pod 中。 ## KMS 密钥 Key Management Service (KMS) 可帮助您在不同服务间实现所需的数据加密级别。您可以使用 KMS 密钥加密、解密和重新加密数据。 ## 本地卷 本地卷代表挂载的本地存储设备，如磁盘、分区或目录。 ## NFS 网络文件系统 卷。持久性卷不与某个特定项目或命名空间相关联，它们可以在 OpenShift Container Platform 集群间共享。持久性卷声明是针对某个项目或者命名空间的，相应的用户可请求它。您可以定义 KMS 密钥来加密 AWS 上的 container-persistent 卷。默认情况下，新创建的使用 OpenShift Container Platform 版本 4.10 和更高版本的集群使用 gp3 Block Store CSI Driver Operator。 ##### 4.1.5. 使用 KMS 密钥在 AWS 上加密容器持久性卷 在部署到 AWS 时，定义在 AWS 上加密容器持久性卷的 KMS 密钥很有用。 ## 先决条件 ● 底层基础架构必须包含存储。 您必须在 AWS 上创建客户 KMS 密钥。 ## 流程 1. 创建存储类： $ cat << EOF | oc

的集群中使用客户管理的密钥启用加密。您必须首先创建 KMS 密钥并为服务帐户分配正确的权限。需要 KMS 密钥名称、密钥环名称和位置来允许服务帐户使用您的密钥。  ## 注意 如果您不想将专用服务帐户用于 KMS 加密，则使用 Compute Engine ystem.iam.gserviceaccount.com 模式。 ## 流程 1. 要允许特定服务帐户使用 KMS 密钥，并为服务帐户授予正确的 IAM 角色，请使用您的 KMS 密钥名称、密钥环名称和位置运行以下命令： $ gcloud kms keys add-iam-policy-binding \ --keyring fffc92c80a6e0213d4050aefc88ae806/p69_2.jpg) KMS 密钥所属的 KMS 密钥环的名称。  KMS 密钥环存在的 GCP 位置。 ![Image](/uploads/documents/f

OpenShift Container Platform 集群中的 hostPath 卷将主机节点的文件系统中的文件或目录挂载到 pod 中。 ## KMS 密钥 Key Management Service (KMS) 可帮助您在不同服务间实现所需的数据加密级别。您可以使用 KMS 密钥加密、解密和重新加密数据。 ## 本地卷 本地卷代表挂载的本地存储设备，如磁盘、分区或目录。 ## NFS 网络文件系 或使用固态硬盘的 PV。| |replication-type|none 或 regional-pd|none|允许您在 zonal 或区域 PV 之间进行选择。| |disk-encryption-kms-key|用于加密新磁盘的密钥的完全限定资源标识符。|空字符串|使用客户管理的加密密钥（CMEK）加密新磁盘。| ##### 5.8.4. 创建自定义加密的持久性卷 创建 PersistentVolumeClaim Google Cloud Key Management Service（KMS）密钥在集群中使用用户管理的加密密钥（CMEK）。 ## 先决条件 - 登陆到一个正在运行的 OpenShift Container Platform 集群。 您已创建了 Cloud KMS 密钥环以及密钥版本。 有关 CMEK 和 Cloud KMS 资源的更多信息，请参阅使用客户管理的加密密钥（CMEK）。 ##

LoadBalancerPoliciesForBackendServer - elasticloadbalancing:SetLoadBalancerPoliciesOfListener - kms:DescribeKey ## 例4.15. 计算实例配置集所需的IAM角色权限 - sts:AssumeRole - ec2:DescribeInstances - ec2:DescribeRegions rootVolume.type|根卷的类型。|有效的AWS EBS卷类型，如io1。| |compute.platform.aws.rootVolume.kmsKeyARN|KMS密钥的Amazon资源名称（密钥ARN）。这是使用特定KMS密钥加密worker节点的操作系统卷。|有效的密钥ID或密钥ARN。| |compute.platform.aws.type|计算机器的EC2实例类型。|有效的AWS实例类型，如m4 安装程序会创建一个新的IAM角色。|有效AWSIAM角色的名称。| |controlPlane.platform.aws.rootVolume.kmsKeyARN|KMS密钥的Amazon资源名称（密钥ARN）。这需要使用特定的KMS密钥加密control plane节点的操作系统卷。|有效的密钥ID和密钥ARN。| |controlPlane.platform.aws.type|control

LoadBalancerPoliciesForBackendServer - elasticloadbalancing:SetLoadBalancerPoliciesOfListener - kms:DescribeKey ## 例6.15. 计算实例配置集的默认IAM角色权限 - ec2:DescribeInstances - ec2:DescribeRegions ## 6.2.5.2 rootVolume.type|根卷的类型。|有效的AWSEBS卷类型，如io1。| |compute.platform.aws.rootVolume.kmsKeyARN|KMS密钥的Amazon资源名称(密钥ARN)。这需要使用特定的KMS密钥加密worker节点的操作系统卷。|有效的密钥ID或密钥ARN。| |compute.platform.aws.type|计算机器的EC2实例类型。|有效的AWS实例类型，如m4 安装程序会创建一个新的IAM角色。|有效AWSIAM角色的名称。| |controlPlane.platform.aws.rootVolume.kmsKeyARN|KMS密钥的Amazon资源名称（密钥ARN）。这需要使用特定的KMS密钥加密control plane节点的操作系统卷。|有效的密钥ID和密钥ARN。| |controlPlane.platform.aws.type|control

chubaofs: ChubaoFS moosefs: https://kms.netease.com/team/km_curve/article/27786 fastcfs: https://kms.netease.com/team/km_curve/article/29140 cephfs: https://kms.netease.com/team/km_curve/article/27909