简体中文

etcd 加密

本指南帮助您安装、理解和操作中的 etcd Encryption Manager，以实现集群内 etcd 数据加密密钥的自动轮换。

它确保存储在 etcd 中的敏感数据（如 secrets 和 configmaps）使用安全算法加密，从而提升集群的安全性。

安装

请参阅 Cluster Plugin 获取安装说明。

注意：

当前支持：

On-Premises 集群

DCS 集群

不支持：

global cluster

工作原理

安装后，会在 kube-system 命名空间部署一个 etcd-encryption-manager 控制器，该控制器：

定期轮换 etcd 数据加密密钥。
保留最近 8 个密钥以支持回滚兼容。
更新所有控制节点上的加密配置。
触发 kube-apiserver 热加载新密钥。
自动迁移资源，使用新密钥重新加密数据。

在整个操作过程中，集群稳定性得到保障。

默认配置

参数	值
加密资源	secrets, configmaps
加密算法	256-bit AES-GCM
轮换间隔	168 小时（7 天）

操作指南

配置文件

路径	内容
`/etc/kubernetes/encryption-provider.conf`	当前加密配置
`/etc/kubernetes/encryption-provider-history.bak`	历史密钥记录（用于恢复）
`/etc/kubernetes/encryption-provider-bak/`	过期的加密配置版本

状态检查

运行以下命令检查当前轮换状态：

kubectl get EtcdEncryptionConfig default -o yaml

示例输出：

apiVersion: cluster.alauda.io/v1alpha1
kind: EtcdEncryptionConfig
metadata:
  name: default
spec:
  resources:
    - secrets
    - configmaps
  rotationInterval: 168h0m0s
  type: aesgcm
status:
  deployStatus:
    192.168.100.1:
      revision: 3
      state: Success
    192.168.100.2:
      revision: 3
      state: Success
    192.168.100.3:
      revision: 3
      state: Success
  migration:
    completeTimestamp: "2025-05-27T05:47:01Z"
    resources:
      - secrets
      - configmaps
    revision: 3
    state: Success
  revision: 3

实用指南

架构

核心概念

功能指南

如何操作

故障排除

概念

功能指南

实用指南

故障排除

安装

核心概念

操作指南

实用指南

数据容灾

核心概念

操作指南

实用指南

操作指南

实用指南

合规

使用指南

API Refiner

用户

功能指南

用户组

功能指南

角色

功能指南

IDP

功能指南

故障排除

用户策略

功能指南

概览

镜像

操作指南

实用指南

虚拟机

操作指南

实用指南

问题处理

网络

操作指南

实用指南

存储

操作指南

备份和恢复

操作指南

核心概念

命名空间

创建应用

应用的操作与维护

Application Rollout

KEDA(Kubernetes Event-driven Autoscaling)

实用指南

计算组件

配置

应用可观测

实用指南

安装

使用指南

安装

升级

功能指南

How To

概念

功能指南

Argo CD 核心概念

Alauda Container Platform GitOps 核心概念

创建 GitOps 应用

GitOps 可观测

架构

操作指南

实用指南

操作指南

实用指南

问题处理

架构

操作指南