使用 PVC 加密 EBS 卷而不会在 Kubernetes 内丢失数据

Posted

技术标签:

【中文标题】使用 PVC 加密 EBS 卷而不会在 Kubernetes 内丢失数据【英文标题】:Encrypt EBS volume with PVC without data loss inside Kubernetes 【发布时间】:2021-03-19 17:50:43 【问题描述】:

我有一个在 EKS 集群中运行的 Prometheus 服务器部署。附加到 prometheus 部署的 EBS 卷未加密。我想加密附加到 prometheus 服务器部署的卷。我不想遭受数据丢失或最小的数据丢失。可以预见的挑战是创建加密卷并将其附加到 prometheus 部署的过程,因为对于 600GB 的数据而言,该过程花费的时间可能太长。 任何人都可以提供任何建议,如果有人可以提供某种帮助,那就太好了。

【问题讨论】:

【参考方案1】:

我认为在原地完成这项工作将极具挑战性。

您可以做的是启动第二个 prometheus pod,由加密的 PVC 支持,并将第一个 prometheus 配置为 remote-write 到第二个实例。

如果您通过 taints 和 tolerations 在集群节点上正确设置约束,则可以确保两个 prometheus pod 在同一节点上运行。然后,您将能够 ssh 进入 eks 节点,找到两个 PVC 卷作为本地文件系统挂载,然后 cp -R 从源未加密卷到目标加密卷。

应该允许您无损失地转移数据。

关于 prometheus 的主题 - 看看 VictoriaMetrics - 它是一个几乎 100% 兼容的 prometheus 插件,它使用更少的内存,并且 io 和 cpu 效率更高。如果您在 EKS 环境中需要 prometheus,这些都是重大胜利。

【讨论】:

以上是关于使用 PVC 加密 EBS 卷而不会在 Kubernetes 内丢失数据的主要内容,如果未能解决你的问题,请参考以下文章

为啥即使禁用了 KMS 密钥,我仍然能够在 EC2 中读取加密的 EBS 卷数据?

Kubernetes PVC 与 AWS 上的 ReadWriteMany

Clickhouse 作为带有副本的 Kubernetes 部署

Oracle EBS进化史

跪求高手看下oracle ebs 的plsql代码编程问题,很简单的几句,但我不会,弱弱的帮我看一眼

rancher设置服务的持久化