Cluster Anthos di VMware kini menjadi Google Distributed Cloud (khusus software) untuk VMware. Untuk mengetahui informasi selengkapnya, lihat ringkasan produk.

Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan enkripsi secret yang selalu aktif

Google Distributed Cloud versi 1.10 mendukung enkripsi secret tanpa memerlukan KMS (Key Management Service) eksternal, atau dependensi lainnya.

Aktifkan enkripsi secret yang selalu aktif

Enkripsi secret selalu aktif bekerja dengan menghasilkan kunci enkripsi secara otomatis yang digunakan untuk mengenkripsi secret sebelum disimpan di database etcd untuk cluster tersebut. Rahasia dienkripsi menggunakan Kunci Enkripsi Data (DEK) yang dibuat untuk setiap penulisan Secret. DEK ini digunakan dalam mode AES-GCM untuk mengenkripsi objek Secret. Kemudian, DEK dienkripsi dengan {i>Key Encrypting Key<i} (KEK). Algoritma enkripsi adalah A256GCM (AES GCM menggunakan kunci 256-bit).

Versi kunci adalah nomor versi untuk menunjukkan kunci yang saat ini digunakan.

Anda dapat mengaktifkan enkripsi secret setelah cluster dibuat.

Untuk cluster admin:
1. Edit file konfigurasi cluster admin untuk menambahkan bagian secretsEncryption.
2. Jalankan perintah gkectl update.
```
gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG
```
Untuk cluster pengguna:
1. Edit file konfigurasi cluster pengguna untuk menambahkan bagian secretsEncryption.
2. Jalankan perintah gkectl update.
```
gkectl update cluster --config USER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG
```

Ganti kode berikut:

ADMIN_KUBECONFIG dengan jalur file kubeconfig cluster admin Anda.
ADMIN_CLUSTER_CONFIG dengan jalur file konfigurasi cluster admin Anda.
USER_CLUSTER_CONFIG dengan jalur file konfigurasi cluster pengguna Anda.

Perintah gkectl update yang disediakan di bagian ini juga dapat digunakan untuk update lainnya pada cluster yang sesuai.

Penyimpanan kunci

Kunci enkripsi untuk cluster admin disimpan di disk data cluster admin. Disk ini terpasang pada mesin master admin di /opt/data, dan kunci enkripsi dapat ditemukan di /opt/data/gke-k8s-kms-plugin/generatedkeys/. Kunci ini harus dicadangkan untuk mempertahankan akses ke rahasia terenkripsi yang digunakan oleh kunci tersebut. Anda harus mengaktifkan enkripsi penyimpanan/VM di hypervisor atau tindakan serupa untuk memastikan bahwa disk VM bidang kontrol terlindungi.

Rotasi kunci

Untuk merotasi kunci enkripsi yang ada untuk cluster, tambahkan keyVersion dalam file konfigurasi cluster admin atau file konfigurasi cluster pengguna yang sesuai, dan jalankan perintah gkectl update yang sesuai. Tindakan ini akan membuat kunci baru yang cocok dengan nomor versi baru, mengenkripsi ulang setiap rahasia, dan menghapus yang lama dengan aman. Semua secret baru berikutnya dienkripsi menggunakan kunci enkripsi baru.

Nonaktifkan enkripsi secret yang selalu aktif

Untuk menonaktifkan enkripsi secret di cluster yang ada, tambahkan kolom disabled: true. Selanjutnya, jalankan perintah gkectl update yang sesuai. Pembaruan ini mendekripsi setiap secret yang ada dan menyimpan setiap secret dalam teks biasa. Semua secret baru berikutnya disimpan dalam teks biasa.

secretsEncryption:
  mode: GeneratedKey
  generatedKey:
    keyVersion: KEY_VERSION
    disabled: true