從 vSphere 7.0 開始,您可以使用 vSphere 加密技術來保護可支援持續性磁碟區的 FCD 虛擬磁碟。

在 vSphere 環境中使用加密需要做一些準備,包括設定 vCenter Server 與金鑰提供者之間的信任連線。vCenter Server 隨後便可視需要從金鑰提供者擷取金鑰。如需參與 vSphere 加密程序之元件的相關資訊,請參閱 vSphere 安全性說明文件中的〈vSphere 虛擬機器加密元件〉

程序

  1. 在 vSphere 環境中設定金鑰提供者。
    如需相關資訊,請參閱 〈設定金鑰管理伺服器叢集〉
  2. 加密 Kubernetes 叢集中的所有節點虛擬機器。
    使用 vSphere Client 執行此步驟。
    1. 導覽至節點虛擬機器。
    2. 從右鍵功能表中,選取虛擬機器原則 > 編輯虛擬機器儲存區原則
    3. 虛擬機器儲存區原則下拉式功能表中,選取虛擬機器加密原則,然後按一下確定
      若要加快節點虛擬機器的加密程序,則只能加密虛擬機器首頁。
  3. 使用 vSphere CSI 設定在 Kubernetes 叢集中建立已加密的持續性磁碟區。
    1. 建立參考虛擬機器加密儲存區原則的 StorageClass。
      將以下 YAML 檔案用作範例。
      kind: StorageClass
      apiVersion: storage.k8s.io/v1
      metadata:
        name: encryption
      provisioner: csi.vsphere.vmware.com
      parameters:
        storagePolicyName: "VM Encryption Policy"
        datastore: vsanDatastore
        
    2. 使用 PersistentVolumeClaim 佈建持續性磁碟區。
      PersistentVolumeClaim 必須在 storageClassName 欄位中包含加密儲存區類別的名稱。