Vous pouvez utiliser la technologie de chiffrement vSphere pour protéger les disques virtuels FCD qui sauvegardent les volumes persistants.

L'utilisation du chiffrement dans votre environnement vSphere nécessite de la préparation et inclut la configuration d'une connexion approuvée entre vCenter Server et un fournisseur de clés. vCenter Server peut ensuite récupérer des clés du fournisseur de clés si nécessaire. Pour plus d'informations sur les composants qui participent au processus de chiffrement vSphere, consultez Composants de chiffrement de machine virtuelle vSphere dans la documentation de Sécurité vSphere.

Procédure

  1. Configurez le fournisseur de clés dans votre environnement vSphere.
    Pour plus d'informations, consultez Configurer le cluster du serveur de gestion des clés.
  2. Chiffrez toutes les machines virtuelles de nœuds sur le cluster Kubernetes.
    Utilisez vSphere Client pour effectuer cette étape.
    1. Accédez à une machine virtuelle de nœud.
    2. Cliquez avec le bouton droit et, dans le menu contextuel, sélectionnez Stratégies de VM > Modifier les stratégies de stockage des VM.
    3. Dans le menu déroulant Stratégie de stockage des VM, sélectionnez Stratégie de chiffrement des VM et cliquez sur OK.
      Pour accélérer le processus de chiffrement des machines virtuelles du nœud, vous ne pouvez chiffrer que la page d'accueil de la machine virtuelle.
  3. Créez des volumes persistants chiffrés dans le cluster Kubernetes à l'aide de la configuration de vSphere CSI.
    1. Créez un StorageClass qui fait référence à la stratégie de stockage de chiffrement de la machine virtuelle.
      Utilisez le fichier YAML suivant comme exemple.
      kind: StorageClass
      apiVersion: storage.k8s.io/v1
      metadata:
        name: encryption
      provisioner: csi.vsphere.vmware.com
      parameters:
        storagePolicyName: "VM Encryption Policy"
        datastore: vsanDatastore
        
    2. Utilisez PersistentVolumeClaim pour provisionner le volume persistant.
      PersistentVolumeClaim doit inclure le nom de la classe de stockage de chiffrement dans le champ storageClassName.