我正在使用GKE(Google Kubernetes Engine)1.13.6-gke.6,并且我需要出于PCI的目的提供etcd加密证据。
我使用了--data-encryption-key
标志并使用了KMS文档之后的this密钥对机密进行加密。
我需要提供一组命令,以证明存储在主节点etcd中的信息已加密。
Here是我们验证存储在普通Kuebrnetes群集(非GKE )中的机密信息的方法。
我们知道GKE是受管的服务和主节点由GCP管理。有没有一种方法可以访问GKE“ etcd”以查看静态存储的机密信息和数据?
答案 0 :(得分:1)
为什么必须证明信息已加密? Google Cloud's PCI DSS certification涵盖了GKE,并且由于主服务器是“集群即服务”的一部分,因此它应该超出您需要显示的内容范围,因为您无法(也无法)控制方式在其中实现存储。
您可以做的一件事是使用Application-layer Secrets Encryption通过存储在Cloud KMS中的自己的密钥来加密您的秘密。对于您的秘密,您将能够运行命令以证明该加密级别更高。
答案 1 :(得分:0)
参考:https://cloud.google.com/kubernetes-engine/docs/concepts/control-plane-security#etcd_security
在Google Cloud中,默认情况下,客户内容在文件系统层被加密。因此,托管GKE群集的etcd存储的磁盘在文件系统层进行了加密。有关更多信息,请参阅静态加密。