- Быстрый старт
- Управление доступом
- Концепции
- Конфигурация рабочих узлов
- Шифрование etcd в Managed Kubernetes
- Ручное обновление кластера
- Политика обновления группы узлов
- Особенности обновления и удаления рабочих узлов
- Резервирование ресурсов и планирование размера рабочих узлов
- Поддержка Container Storage Interface
- Сетевые политики по умолчанию
- Автоматическое масштабирование группы узлов
- Горизонтальное масштабирование подов
- Вертикальное масштабирование подов
- Мониторинг кластера
- Аудит-логирование в Managed Kubernetes
- Группы узлов с графическим процессором GPU
- Тарификация
- Термины и сокращения
- Обратиться в поддержку
Шифрование etcd в Managed Kubernetes
Managed Kubernetes поддерживает шифрование Secret и ConfigMap в etcd.
По умолчанию шифрование etcd в кластере отключено. Включить его можно только при создании кластера. Кроме того, в работающем кластере нельзя поменять ключ шифрования или отключить шифрование.
При включении шифрования необходимо выбрать ключ из сервиса Key Management.
На пользовательском сервисном аккаунте, выбранном в кластере, должна быть назначена роль sckm.user. Если при создании кластера:
выбрано автоматическое создание сервисного аккаунта, то роль sckm.user на этот сервисный аккаунт будет также назначена автоматически.
выбран сервисный аккаунт, настроенный самостоятельно, то такому сервисному аккаунту необходимо самостоятельно назначить роль sckm.user.
Для взаимодействия с Key Management используется преднастроенный KMS-плагин. В качестве KMS-провайдера Managed Kubernetes использует KMS v2, который поддерживает схему шифрования envelope encryption:
Данные в etcd шифруются с помощью одноразового ключа шифрования данных (Data Encryption Key), который регулярно ротируется.
DEK шифруется с помощью ключа шифрования ключа (Key Encryption Key).
KEK хранится и управляется в сервисе Key Management.