Elastic Container Instance memungkinkan Anda mengenkripsi ruang penyimpanan sementara dari sebuah instans wadah elastis untuk melindungi gambar sensitif atau data bisnis serta mematuhi regulasi. Dengan fitur ini, data Anda tetap aman dan terlindungi dari akses tidak sah atau kebocoran. Topik ini menjelaskan cara mengenkripsi ruang penyimpanan sementara dari sebuah instans wadah elastis.
Deskripsi fitur
Secara default, setiap instans wadah elastis menyediakan 30 GiB ruang penyimpanan sementara untuk menyimpan gambar wadah yang digunakan saat meluncurkan instans dan data bisnis yang dihasilkan selama operasi. Anda dapat menyesuaikan ukuran ruang penyimpanan sesuai dengan kebutuhan bisnis. Elastic Container Instance memungkinkan Anda mengenkripsi ruang penyimpanan sementara untuk melindungi gambar sensitif atau data bisnis serta mematuhi regulasi. Dengan cara ini, data Anda tetap aman dan terlindungi dari akses tidak sah atau kebocoran.
Jika Anda mengaktifkan fitur enkripsi saat membuat instans wadah elastis, Elastic Container Instance secara otomatis mengenkripsi data dalam ruang penyimpanan sementara dan mendekripsinya saat Anda membaca data tersebut. Fitur enkripsi menggunakan algoritma AES-256 standar industri dan kunci layanan (kunci default) yang disediakan oleh Alibaba Cloud Key Management Service (KMS).
Prasyarat
KMS telah diaktifkan. Untuk informasi lebih lanjut, lihat Membeli instans KMS khusus.
Setelah mengaktifkan KMS, sistem secara otomatis membuat dan mengelola kunci layanan. Anda dapat menggunakan kunci layanan ini secara gratis.
Catatan penggunaan
Metode enkripsi yang dijelaskan dalam topik ini tidak berlaku untuk instans wadah elastis yang dibuat menggunakan cache gambar yang dibuat secara manual.
Deskripsi konfigurasi
Anda dapat menambahkan anotasi berikut ke metadata dari sebuah instans wadah elastis untuk mengenkripsi ruang penyimpanan sementara.
Anotasi | Contoh | Deskripsi |
k8s.aliyun.com/eci-ephemeral-storage-options | "{\"encrypted\":\"true\"}" | Pengaturan |
Anotasi harus ditambahkan ke metadata dalam file konfigurasi pod. Sebagai contoh, saat membuat Deployment, Anda harus menambahkan anotasi di bagian spec.template.metadata.
Untuk menggunakan fitur Elastic Container Instance, Anda hanya dapat menambahkan anotasi saat membuat pod berbasis Elastic Container Instance. Jika Anda menambah atau memodifikasi anotasi saat memperbarui pod, anotasi tersebut tidak akan berlaku.
Contoh konfigurasi
Berikut adalah contoh kode yang mengilustrasikan cara menambahkan anotasi untuk mengenkripsi ruang penyimpanan sementara dari sebuah instans wadah elastis untuk Deployment. Dalam contoh ini, data dalam ruang penyimpanan sementara secara otomatis dienkripsi dan didekripsi saat dibaca.
apiVersion: apps/v1
kind: Deployment
metadata:
name: kms-test
labels:
app: test
spec:
replicas: 1
selector:
matchLabels:
app: test
template:
metadata:
name: kms-test
labels:
app: test
alibabacloud.com/eci: "true"
annotations:
k8s.aliyun.com/eci-ephemeral-storage-options: "{\"encrypted\":\"true\"}" # Enkripsi ruang penyimpanan sementara.
spec:
containers:
- name: test
image: registry-vpc.cn-beijing.aliyuncs.com/eci_open/nginx:1.4.2