本页面介绍了 CMEK(客户管理的加密密钥)支持在 Backup for GKE 中的工作原理。
概览
有两种类型的用户数据工件通过 Backup for GKE 生成和存储:
- 配置备份:从正在备份的集群 API 服务器中提取的一组 Kubernetes 资源说明,用于捕获集群状态。
- 卷备份:一组与配置备份中找到的
PersistentVolumeClaim资源相对应的卷备份。
默认情况下,通过 Backup for GKE 生成的所有备份工件都使用 Google 提供的密钥进行静态加密。
但是,您可以选择使用通过 Cloud Key Management Service 管理的 CMEK 来加密这些工件。
启用 CMEK 加密
启用 CMEK 加密涉及两个步骤:
指定一个密钥,用于加密为
BackupPlan生成的备份。通过适当的服务账号授予对相应密钥的访问权限。
对于任何特定的备份场景,可能涉及以下三个 CMEK 密钥:
bplan_key:这是您在创建或更新BackupPlan时引用的密钥。如有可能,此密钥会在加密所有备份工件时使用。此密钥必须与BackupPlan本身位于同一区域(请参阅资源位置简介)。orig_disk_key:如果您使用 CMEK 密钥加密了永久性磁盘卷,则 Backup for GKE 为这些卷生成的卷备份会使用该密钥进行加密,即使您使用BackupPlan注册了其他密钥也是如此。new_disk_key:这是您在加密从备份恢复的卷时要使用的 CMEK 密钥。此密钥由恢复的目标集群中的StorageClass引用。
有五个不同的服务账号可能需要访问 CMEK 密钥:
agent_wi:如果您运行的是代理的预览版(运行 1.23 版或更低版本的 GKE 集群),则此服务账号必须获得对bplan_key的访问权限。此服务账号的格式为PROJECT_ID.svc.id.goog[gkebackup/agent],其中PROJECT_ID是您的 Google Cloud 项目的 ID。agent_robot:如果您的 GKE 集群运行的是 1.24 版或更高版本,则此服务账号必须获得对bplan_key的访问权限。此服务账号的格式为service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com,其中PROJECT_NUMBER是您的 Google Cloud 项目的编号。non_cmek_service_agent:在备份非 CMEK 加密的卷时,此服务账号必须获得对bplan_key的访问权限。 此服务账号的格式为service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com,其中PROJECT_NUMBER是您的 Google Cloud 项目的编号。cmek_service_agent:在备份 CMEK 加密的卷时,此服务账号必须获得对orig_disk_key的访问权限。 此服务账号的格式为service-TENANT_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com,其中TENANT_PROJECT_NUMBER是为BackupPlan分配的租户项目的编号。compute_service_agent:此服务账号用于为集群创建新的加密卷,且必须获得对new_disk_key的访问权限。此服务账号的格式为service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com,其中PROJECT_NUMBER是您的 Google Cloud 项目的编号。
如果为磁盘设置了 diskEncryptionKey.kmsKeyServiceAccount,则您需要在创建备份之前执行以下步骤:
停用组织政策
iam.disableCrossProjectServiceAccountUsage以跨项目启用服务账号模拟:gcloud resource-manager org-policies disable-enforce \ iam.disableCrossProjectServiceAccountUsage --project=PROJECT_ID授予
cmek_service_agentroles/iam.serviceAccountTokenCreator角色以创建短期有效凭据:gcloud iam service-accounts add-iam-policy-binding \ # Replace the email with the value from # `diskEncryptionKey.kmsKeyServiceAccount` your-kms-key-service-acount@PROJECT_ID.iam.gserviceaccount.com \ --member=service-TENANT_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \ --role=roles/iam.serviceAccountTokenCreator
下表汇总了各种场景中必须向哪些服务账号授予对哪些密钥的访问权限:
| 工件 | 服务账号 | 键 |
|---|---|---|
| 配置备份,1.23- 集群 | agent_wi | bplan_key |
| 配置备份,1.24+ 集群 | agent_robot | bplan_key |
| CMEK 加密的卷备份 | cmek_service_agent | orig_disk_key |
| Google 加密的卷备份 | non_cmek_service_agent | bplan_key |
| 在恢复期间创建的 CMEK 加密的新卷 | compute_service_agent | new_disk_key |
您可以选择在项目级层授予对密钥的访问权限(授予对项目下所有密钥的访问权限),或授予对单个密钥的访问权限。
示例:授予项目级访问权限
gcloud projects add-iam-policy-binding PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter
示例:授予密钥级访问权限
gcloud kms keys add-iam-policy-binding key \
--keyring key-ring \
--location location \
--member "serviceAccount:PROJECT_ID.svc.id.goog[gkebackup/agent]" \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter
使用注意事项和限制
如果您要备份 CMEK 加密的卷,则必须授予对磁盘的密钥的访问权限,即使您未在
BackupPlan中启用 CMEK 加密也是如此。CMEK 密钥必须与
BackupPlan位于同一区域,以确保区域性服务中断不会移除对密钥的访问权限,同时备份仍可访问。但是,对于与加密卷共享的密钥,系统无法强制执行此限制条件。当涉及加密卷时,由于磁盘加密密钥可能未与备份存储在同一区域,因此即使备份可用,恢复也可能会失败。