从 vSphere 7.0 开始,可以使用 vSphere 加密技术保护支持持久卷的 FCD 虚拟磁盘。

在 vSphere 环境中使用加密需要做好一些准备,包括在 vCenter Server 与密钥提供程序之间设置可信连接。然后,vCenter Server 可以根据需要从密钥提供程序检索密钥。有关参与 vSphere 加密过程的组件的信息,请参见《vSphere 安全性》文档中的 vSphere 虚拟机加密组件

过程

  1. 在 vSphere 环境中设置密钥提供程序。
    有关信息,请参见 设置密钥管理服务器集群
  2. 对 Kubernetes 集群上的所有节点虚拟机进行加密。
    使用 vSphere Client 执行此步骤。
    1. 导航到节点虚拟机。
    2. 从右键单击菜单中,选择虚拟机策略 > 编辑虚拟机存储策略
    3. 虚拟机存储策略下拉菜单中,选择虚拟机加密策略,然后单击确定
      要加快节点虚拟机的加密过程,可以只加密虚拟机主页。
  3. 使用 vSphere CSI 设置在 Kubernetes 集群中创建加密持久卷。
    1. 创建引用虚拟机加密存储策略的 StorageClass。
      可参考以下 YAML 文件示例。
      kind: StorageClass
      apiVersion: storage.k8s.io/v1
      metadata:
        name: encryption
      provisioner: csi.vsphere.vmware.com
      parameters:
        storagePolicyName: "VM Encryption Policy"
        datastore: vsanDatastore
        
    2. 使用 PersistentVolumeClaim 置备持久卷。
      PersistentVolumeClaim 必须在 storageClassName 字段中包含加密存储类的名称。