etcd 加密
本指南帮助您安装、理解并操作 中的 etcd Encryption Manager,以实现集群内 etcd 数据加密密钥的自动轮换。
它确保存储在 etcd 中的敏感数据(如 secrets 和 configmaps)使用安全算法加密,从而提升集群的安全性。
目录
安装
请参见 Cluster Plugin 获取安装说明。
注意:
当前支持:
- On-Premises 集群
- DCS 集群
不支持:
global cluster
工作原理
安装后,会在 kube-system 命名空间部署一个 etcd-encryption-manager 控制器,该控制器:
- 定期轮换 etcd 数据加密密钥。
- 保留最近 8 个密钥以支持回滚兼容。
- 更新所有控制节点上的加密配置。
- 触发
kube-apiserver热加载新密钥。 - 自动迁移资源,使用新密钥重新加密数据。
这些操作过程中集群保持稳定。
默认配置
| 参数 | 值 |
|---|---|
| 加密资源 | secrets, configmaps |
| 加密算法 | 256-bit AES-GCM |
| 轮换间隔 | 168 小时(7 天) |
操作指南
配置文件
| 路径 | 内容 |
|---|---|
/etc/kubernetes/encryption-provider.conf | 当前加密配置 |
/etc/kubernetes/encryption-provider-history.bak | 历史密钥记录(用于恢复) |
/etc/kubernetes/encryption-provider-bak/ | 过期的加密配置版本 |
状态检查
运行以下命令检查当前轮换状态:
示例输出: