Облачная информация для создания группы управляемых узлов EKS с зашифрованным томом

Question

У меня есть шаблон CloudFormation, который создает группу управляемых узлов:

 NodeGroup:
    Type: AWS::EKS::Nodegroup
    Properties: 
      ClusterName: !Ref Cluster
      InstanceTypes:
        - !Ref NodeInstanceClass
      NodegroupName: ng-0
      NodeRole: !GetAtt NodeInstanceRole.Arn
      ScalingConfig: 
        MinSize: !Ref ClusterMinSize
        DesiredSize: !Ref ClusterDesiredSize
        MaxSize: !Ref ClusterMaxSize
      Subnets: 
        - !Ref AppSubnetID1
        - !Ref AppSubnetID2 

Вопрос: Можно ли создать узлы с зашифрованным томом EBS ?

Возможно, зашифрованные AMI доступны где-нибудь?

Answer 1

На основе EKS нам нужно сделать зашифрованные PV / PVC для кластера k8s.

Этот онлайн-учебник имеет следующие шаги:

https://prabhatsharma.in/blog/using-encrypted-ebs-volumes-on-kubernetes-with-aws/

Это покажет вам, как это сделать в k8s.

Нам нужно адаптировать это к шаблону EKS Cloudformation.

Мы можем сделать это, используя соответствующие теги CloudFormation для EKS. Поставщик шифрования кластера здесь:

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-eks-cluster-encryptionconfig.html

Вам нужно будет установить следующие параметры:

Type: AWS::EKS::Cluster
Properties: 
  EncryptionConfig: 
    Provider: 
      Provider
    Resources: 
      - String
  Name: String
  ResourcesVpcConfig: 
    ResourcesVpcConfig
  RoleArn: String
  Version: String

Обратите внимание, что это делается в AWS :: EKS :: Кластер не является NodeGroup через EncryptionConfig.

Свойства Provider Поставщик шифрования для кластера.

Обязательно: Нет

Тип: Поставщик

Ресурсы Определяет ресурсы для шифрования. Единственное поддерживаемое значение - «секреты».

Обязательно: нет

Тип: список строк