使用Encryption-at-Rest Kubernetes PostgreSQL

数据加密是至关重要的是符合法规要求的保护敏感数据。加密可以帮助组织遵守法规和避免法律后果和罚款。这也是保护敏感数据,避免数据泄露的关键。

PostgreSQL本地不支持透明数据加密(语音)。语音是一个数据库加密技术,在列或表级加密数据,而不是全盘加密(FDE),加密整个数据库。

至于FDE,有多个选项可供PostgreSQL。在这篇文章中,您将学习:

• 如何利用FDE在Kubernetes Percona PostgreSQL运营雷竞技下载官网商吗
• 如何开始使用加密存储已经运行的集群

准备

在大多数公共云,块存储在缺省情况下是不加密的。在Kubernetes启用的加密存储,您需要修改StorageClass资源。这将指示容器存储接口(CSI)提供加密存储块存储的音量(GCP持久AWS EBS,磁盘,Ceph,等等)。

存储类的配置取决于存储插件。例如,在Google Kubernetes引擎(GKE),您需要创建云密钥管理服务的关键(公里)和StorageClass设置:

得到KMS_KEY_ID通过遵循指令这个文档。

AWS EBS,你只需要添加一个加密场;在AWS公里将自动生成的关键。

阅读更多关于存储加密的文档云提供商或存储您所选择的项目。

试试

一旦你StorageClass创建,是时候使用它。我将使用雷竞技下载官网Percona运营商为PostgreSQL v2在技术预览版(目前)在我的测试中,但是这种方法可用于任何雷竞技下载官网Percona运营商。

操作员通过遵循我们的部署安装说明。我将使用常规kubectl方法:

创建一个新的集群与加密存储

要创建加密存储的集群,必须设置正确的存储类的自定义的资源。

应用自定义资源:

集群应该启动并运行,支持的加密存储。

对现有的加密存储集群

这个任务可以归结为从一个StorageClass切换到另一个地方。版本的两个运营商,我们组的概念实例。他们绝对是奇妙的测试新的配置,包括计算和存储。

1. 开始定期与两个节点集群,主数据网格和副本。存储是不加密的。(0-fde-pg.yaml)
2. 添加另一个实例组有两个节点,但这一次与加密存储1-fde-pg.yaml)。要做到这一点,我们改变spec.instances部分:

3. 壳牌

   ——名称:instance2副本:2 dataVolumeClaimSpec: storageClassName: my-enc-sc accessModes:——ReadWriteOnce资源:请求:存储:1 gi

   1 2 3 4 5 6 7 8 9

   - - - - - - 的名字 : instance2 副本 : 2 dataVolumeClaimSpec : storageClassName : 我的 - - - - - - 内附 - - - - - - sc accessModes : - - - - - - ReadWriteOnce 资源 : 请求 : 存储 : 1胃肠道

   
   等待复制完成,看看交通新节点。
4. 终止节点与未加密存储通过移除旧的实例从自定义资源组(2-fde-pg.yaml)。

现在你使用加密存储集群运行。

结论

它很有趣,PostgreSQL没有内置的数据加密。彼得•扎伊采夫写了一篇博文。在过去,为什么PostgreSQL数据库需要透明加密(语音)- - - - - -为什么它是必要的。

存储级加密可以保证您的数据安全,但它有其局限性。顶部的局限性是:

1. 你不能加密数据库对象精确地,只有整个存储。
2. (1)不允许你加密不同的数据用不同的密钥,这可能是遵从法规的拦截器。
3. 物理备份,当文件从磁盘复制,不加密。

即使有这些限制,强烈建议加密数据。尝试我们的操作员,让我们知道你的想法。

• 请使用这个论坛对于一般的讨论。
• 提交JIRA问题缺陷,和改进的功能要求。
• 商业支持,请使用我们的联系页面。

的Per雷竞技下载官网cona Kubernetes运营商自动创建、变更或删除成员在你的MySQL Percona分布,MongoDB或PostgreSQL的环境。

了解更多关于Percona Kub雷竞技下载官网ernetes运营商