本页面介绍如何解决磁盘加密问题。
密钥轮替错误
本部分列出了您在 轮替客户管理的加密密钥 (CMEK) 时可能会遇到的错误,并提供了有关如何解决这些错误的建议。
非 CMEK 保护的磁盘不支持 CMEK 轮替
当您尝试在不受支持的资源上轮替 CMEK 时,会发生以下错误:
CMEK rotation is not supported for non-CMEK protected disks
如需解决此问题,请确认您的资源受到 Cloud Key Management Service的保护。
某些 Google Cloud Hyperdisk 配置不支持 CMEK 轮替
当您尝试轮替或更改在线机密 Hyperdisk 卷或未挂接到 受支持的机器类型之一的在线 Hyperdisk 卷的 CMEK 时,会出现以下错误消息:
CMEK Rotation is not supported for (confidential) Hyperdisk attached to machine type TYPE_X
如需解决此问题,请完成以下步骤:
- 分离磁盘
- 使用
compute.disks.updateKmsKey方法 轮替或更改 CMEK - 重新挂接磁盘
磁盘已在使用主 KMS 密钥版本
当磁盘或标准快照已在使用主密钥版本时,会出现以下警告消息:
WARNING: Some requests generated warnings: - Disk DISK_NAME is already using the primary kms key version KEY_VERSION.
在这种情况下,API 调用将成功,但密钥版本不会更新。
此问题可能是由于 KMS 的版本控制更新延迟所致。 如需解决此问题,请稍后重新尝试轮替密钥。
如果任务失败但您没有看到之前的错误消息,您可以按照以下步骤手动轮替 Cloud KMS:
- 轮替 Cloud KMS 密钥。
- 创建加密磁盘的快照。
- 使用新快照来创建新的磁盘,其中的密钥是在上一步中轮替的密钥。
- 替换挂接到虚拟机并使用旧加密密钥的磁盘。
在您创建新的磁盘时,该磁盘会使用新的密钥版本进行加密。您根据该磁盘创建的任何快照都会使用最新的主密钥版本。
使用 Cloud Key Management Service 轮替密钥时,使用先前的密钥版本加密的数据不会自动重新加密。如需了解详情,请参阅 重新加密数据。轮替密钥不会自动 停用或 销毁现有密钥版本。