+7 495 120-13-73 | 8 800 500-97-74

(для регионов бесплатно)

Содержание

расшифровка, маркировка и технические характеристики

Одним из широко применяемых в производстве и бытовых нуждах является силовой кабель ПВС. Дословно ПВС расшифровка означает:

  • П — провод,
  • В — изоляция оболочки и самих проводников из поливинилхлорида,
  • С — означает, что провод соединительный.

То, что провод является соединительным, исключает его из ряда кабелей служащих для прокладки стационарных электросетей.

Характеристика кабеля

Ключевой характеристикой ПВС является непосредственный диаметр токопроводящих жил (проводников) и их количество. Проводники медные. Они  бывают цельными, а могут быть представлены отдельными скрученными проволочками.

Каждый проводник имеет свой цвет. Их расшифровка означает:

  • Белый обычно этим цветом окрашена внешняя изоляционная оболочка.
  • Красный, коричневый, черный такими цветами окрашена изоляционная оболочка, находящейся под напряжением.
  • Синий обозначает нулевой провод.
  • Зеленый роводник с таким применяют для заземления.

Полная маркировка кабеля осуществляется согласно ГОСТ и выглядит следующим образом ПВС Х*ХХ. Расшифровка данной аббревиатуры:

  • Х — это количество проводников,
  • * — означает разделительный знак,
  • ХХ — это диаметр проводника.

Важность концевой заделки

Монтируя провод всегда нужно помнить о прочности и надежности соединения проводников. Решить проблему концевой заделки помогает опрессовка. Тем более что работы связанные с ней характеризуются малой трудоемкостью в сочетании с небольшой стоимостью.

Опрессовка производится с применением обжимных пресс-клещей. Кроме них используют прессы со сменными матрицами. Опрессовка может быть выполнена способом местного вдавливания или сплошным обжатием.

Эксплуатационные и технические показатели

Технические характеристики кабеля позволяют применять его во всех областях, где нужно соединить источник питания с потребителем. Выбирая провод, нужно обязательно учитывать число токопроводящих жил, их диаметр, а также характеристики эксплуатации.

Для всех видов продукции ПВС технические характеристики следующие:

  • Максимальное существующее напряжение — 450 В.
  • Класс термостабильности Y. Температура нагрева до + 70 градусов Цельсия.
  • Изоляционный материал не поддерживает горение.
  • Провод обладает высокой механической прочностью.
  • Срок эксплуатации зависит от условий использования и составляет от 6 до 10 лет.

Описание негорючего аналога

Среди аналогов данной марки можно выделить провод ПВСнг-LS. Область применения его в сети различных приборов разнообразна. Он широко востребован также для подключения к сети электроприборов, требующих повышенную пожаробезопасность. Расшифровка последних четырех букв аббревиатуры ПВСнг-LS означает:

  • нг — кабель негорючий,
  • LS – в случае пожара низкое дымо- и газовыделение.

Конструктивно ПВСнг-LS провода относятся к классу 5 согласно ГОСТ 22483-77. При условии, что количество жил равно 7, на их изоляцию наносится цифровая маркировка. Все изолированные проводники скручены.

Провода, где число жил равно 5, скручены в сердечник.

Технические показатели аналога

Технические показатели ПВСнг-LS:

  • климатическое исполнение кабеля УХЛ и Т,
  • кабель используется в диапазоне температур от 40 до + 40 градусов Цельсия,
  • допустимая максимальная температура проводника + 70 градусов Цельсия,
  • в течение одного часа провод при температуре 20 град. Цельсия должен находиться в воде, после чего 15 минут проверяется переменным напряжением 2000 В частотой 50 Гц,
  • при групповой прокладке кабель не распространяет горение.

ПВСнг-LS может доставляться намотанным на деревянные барабаны или же может быть в бухтах. Бухты упакованы в защитную пленку. На барабане или бухте имеется наклейка, на которой указаны: дата изготовления, обозначение провода с указанием количества токопроводящих жил и диаметром их сечения, метраж кабеля, масса при поставке (в бухтах) в кг, знак сертификации, номер барабана (бухты). Срок эксплуатации ПВСнг-LS – не менее 6 лет. Монтаж выполняют с опрессовкой.

Занимаясь электромонтажом, многие замечают, что, как правило, проводники всех проводов состоят из меди. Различие между ними в структуре жил, которые бывают цельными или состоят из отдельных проволочек. Это влияет на гибкость кабеля.

Кроме этого, провода отличаются свойствами изоляции.

Отличие изоляции и климатических условий применения

Таким является кабель марки КГ. Дословно расшифровывается, как кабель гибкий. Его краткое описание следующее. КГ можно использовать при повышенной влажности, причем на открытом воздухе. Чрезвычайная гибкость позволяет с успехом использовать его на речных судах.

КГ обладает стойкой конструкцией. Это дает возможность разматывать и сматывать кабель много раз. Применение кабеля при сварочных работах — также одно из его назначений. Изоляция всего провода, как и изоляция каждого проводника выполнена из специальной морозостойкой резины. Как правило, это натуральный или искусственный каучук. Применение морозостойкой резины позволяет эксплуатацию его при температуре до 60 градусов Цельсия.

КГ имеет от 1 до 5 жил. Срок эксплуатации провода — не менее четырех лет с момента выпуска. Однако, данное условие применимо при нормальных условиях эксплуатации. Существует негорючий кабель с маркировкой Кгнг. При монтаже кабеля применяется опрессовка.

Учитывая характеристики КГ и ПВС можно отметить, что основные их различия в сроках использования и морозостойкойсти, что предопределено составом изоляционного материала.

Плоский аналог

Провод ПУГНП также является альтернативой ПВС. Область его применения — исключительно для монтажа осветительных сетей.   ПУГНП расшифровывается следующим образом: провод гибкий, универсальный, плоский.  ПУГНП состоит из нескольких проводов, каждый из которых изолирован. Все эти провода находятся в дополнительной оболочке.

Учитывая узкую область применения, следует отметить, что данная продукция с успехом используется в качестве разводки по всей квартире или дому. Главное в этом деле — подобрать нужное сечение на определенный участок монтажа. Желательно применять сечение чуть больше рекомендуемого, чтобы был небольшой запас. Помнить простое правило: минимум нагрузки на проводку — максимум срок ее эксплуатации.

Срок использования ПУГНП — 15 лет. Для плотного контакта концы его опрессовывают специальными гильзами.

Следует помнить одну важную особенность ПУГНП — состав его изоляционного материала не позволяет применять провод для открытого монтажа электропроводки.

Провод ПВС – расшифровка, характеристики и область применения

Описание провода ПВС

Провод ПВС (он же — кабель ПВС) — это один из наиболее распространенных проводов для бытового применения. Его можно использовать для подключения электроинструмента (если соблюдать соответствие потребляемой мощности с сечением провода), для прокладки осветительных сетей и тому подобное. Как правило, именно провод ПВС или подобный ему используется в бытовых и промышленных удлинителях.

В зависимости от числа и назначения жил данный кабель может применяться в однофазных и трехфазных сетях.

Назначение и применение провода ПВС

Кабель часто применяют:

  • В качестве удлинителя или переноски для решения бытовых задач;
  • Для наружного и внутреннего соединения наружных электросетей, приборов;
  • В садоводстве благодаря своей гибкости и водонепроницаемости;
  • Внутри электрических устройств;
  • Для подключения любого типа электроинструментов (персонального компьютера, газонокосилки, электрочайника, телевизора, пылесоса и так далее).

Важно! Назначений у ПВС огромное количество. Его используют даже там, где встретить его никто не ожидает. Все благодаря его гибкой структуре и эксплуатационным характеристикам. Именно из-за этого в мире налажено такое огромное производство ПВС изготовителями из разных стран.


Переноска на основе ПВС

Расшифровка провода ПВС

У ПВС провода расшифровка достаточно проста – «П» — означает провод, «В» — обозначает наличие виниловой изоляции (это сокращенное название ПВХ) и «С» — соединение в единой оболочке всех жил. В этом случае провод имеет круглое сечение. Добавление же символа «П» обозначает параллельное расположение жил. В этом случае провод имеет овальную форму.


Расшифровка проводов ПВС

Итак:

  • Маркировка на провод наносится на его наружную поверхность. Кроме обозначения марки провода она содержит еще ряд цифр. Давайте разберемся и с их значением. А поможет нам в этом видео представленное на сайте.
  • Первая цифра после буквенной маркировки это «2», «3», «4» или «5». Это число обозначает количество жил в кабеле.
  • После этого идет знак «×» и второе число, которое может быть «0,75», «1,00», «1,50», «2,50». Это число означает сечение всех жил провода.

Обратите внимание! Согласно ГОСТ 22483 – 77 номинальное и фактическое сечение жил может отличатся. Главным требованием является соответствие электрического сопротивления провода стандартам.

  • Например, мы имеет провод гибкий ПВС 3х1 5. Это значит, что данный провод имеет три жилы с номинальным сечением в 1,5 мм2 каждая.

Технические характеристики и условия эксплуатации

Согласно действующему ГОСТу данный тип провода должен отвечать следующим нормам:

  • Нижняя граница рабочего температурного диапазона 20° С ниже нуля, допустимый долгосрочный нагрев 40-50° С, краткосрочный не более 70° С. Возможно морозоустойчивое исполнение, в этом случае нижний порог опускается до -40°С.
  • Величина номинального напряжения — 380 В, но при этом изоляция должна выдерживать краткосрочное повышение до 2000 В (не менее 5 минут). Именно при таких условиях должны поводиться испытания производителем.
  • Изоляция ПВС любого типа не должна распространять огонь, если осуществлялась одиночная прокладка. При групповой прокладке это требование распространяется только на провода, имеющие пометку «нг» в маркировке.
  • Безотказное время работы в часах – не менее 5000, при эксплуатации в стационарных установках этот параметр возрастает до 12000, в годах это 6 и 10 лет, соответственно.
  • Порог допустимой относительной влажности не должен быть ниже 98%.
  • Обязательная устойчивость к деструктивному воздействию грибков и плесени.

Остальные параметры приведены в таблице ниже.

Основные параметры провода ПВС

Теперь давайте разберем основные характеристика провода ПВС. Ведь именно исходя из них осуществляется выбор провода и места его монтажа.


Технические характеристики проводов ПВС

Итак:

  • Согласно ГОСТ 22483 – 77 жилы проводов ПВС относится к 5 классу. Исходя из этого выбирается сечение единичных проволок в общем сечении жилы. Например, для провода с номинальным сечением жилы в 1,0 мм2 сечение единичной проволоки должно быть не более 0,21 мм2. А для жилы в 2,5 мм2 значение единичной проволоки должно быть уже не больше 0,26 мм2.
  • Что касается изоляции, то на провод ГОСТ 7399 – 97 ПВС устанавливает значения, зависящие от сечения жил. Так толщина изоляции жилы колеблется от 0,6 до 0.8 мм. А толщина оболочки колеблется от 0,8 до 1,2 мм. При этом изоляция должна обеспечивать сопротивление изоляции не менее приведенных в данном ГОСТе.

Обратите внимание! Согласно п.4.1.1.6 ГОСТ 7399 – 97 оболочка провода не должна иметь выпуклостей или вмятин. Кроме того, оболочка должна быть выполнена таким образом, чтоб между жилами не было пустот. Допускается для этого применять дополнительные материалы. Но в любом случае отделение жил от оболочки не должно вызывать трудностей.

  • Рабочими температурами для провода ПВС считается диапазон от — 25⁰с до +40⁰С. При этом максимальная рабочая температура не должна превышать +70⁰С. А минимальная температура для монтажа должна быть не ниже -20⁰С
  • Инструкция предполагает, что оболочка провода не распространяет горения. При этом сама она подвержена воздействию температур.
  • Срок службы ПВС провода ГОСТ отмеряет 6 годами. Но обычно этот срок значительно больше, если только провод не подвержен воздействию агрессивных сред.

Дополнительные обозначения

Кабель ПВС может иметь в маркировке еще ряд дополнительных букв и/или цифр, обозначающих отдельные конструкционные особенности или функциональные свойства. В первую очередь это код формата 3×2.5 — стандартное обозначение числа жил и их суммарного (так как они многопроволочные) сечения.

Другие возможные обозначения:

  1. Т — «тропическое» исполнение, повышенная стойкость к влажности.
  2. Y — увеличенный температурный диапазон (до –40 градусов).
  3. Л — проводники из луженой меди.
  4. А — проводники из алюминия, а не меди.
  5. Б — наличие брони.
  6. Г — нет изоляции.
  7. ПС — оболочка из смеси полиэтилена с поливинилхлоридом.
  8. ПВ — оболочка и смеси ПВХ с резиновой массой.

Виды изоляции

Типы изоляции:

  • Поливинилхлорид (ПВС). ПВС – это относительно недорогой и простой в использовании материал, который может применяться в различных областях. Максимальный температурный диапазон составляет от минус 55 до 105 градусов Цельсия. Полимер устойчив к пламени, влаге и истиранию. Он также противостоит бензину, озону, кислотам и растворителям. Его также можно использовать в медицинских и пищевых целях, поскольку он не имеет запаха, вкуса и нетоксичен. Оболочки из ПВС могут использоваться в тяжелых и тонкостенных конструкциях. ПВС не следует использовать, когда при низких температурах требуется гибкость и увеличенный срок службы при изгибе. При использовании в устройствах с втягивающимся шнуром он также проявляет гибкость ниже среднего. Оболочки из ПВС демонстрируют высокое затухание и потерю емкости, а это означает, что при использовании в электрической системе теряется мощность.
  • Полужесткий ПВС (SR-PVC). В основном используется в качестве первичной изоляции и очень устойчив к истиранию. (Для толщины 30–16, 10-миллиметровая стена соответствует стилю UL 1061, 80 градусов Цельсия, 300 вольт.) Полужесткий ПВС огнестойкий, а также устойчив к нагреву, воде, кислотам и щелочам.
  • Пленум Поливинил Хлорид (Plenum PVC). Plenum PVC подходит для использования в помещениях за выпадающими потолками или фальшполами, оставленными открытыми, чтобы обеспечить циркуляцию воздуха. Стандартный ПВС считается вариантом непленочной изоляции, потому что он не обладает качествами, необходимыми для безопасного использования в помещениях. Чтобы получить номинальную плотность, изоляция должна соответствовать более строгим правилам пожарной безопасности.
  • Полиэтилен (PE). Это соединение используется чаще всего в коаксиальных кабелях и кабелях с низкой емкостью из-за его типичных электрических качеств. Много раз он используется в этих приложениях, потому что это доступно и может быть вспенено, чтобы уменьшить диэлектрическую проницаемость до 1,50, что делает его привлекательным вариантом для кабелей, требующих высокоскоростной передачи. Полиэтилен также может быть сшит для обеспечения высокой устойчивости к растрескиванию, прорезанию, пайке и растворителям. Полиэтилен можно использовать при температуре от минус 65 до 80 градусов Цельсия. Все плотности полиэтилена жесткие, твердые и негибкие. Материал также огнеопасен. Добавки могут быть использованы для придания огнестойкости, но это принесет в жертву диэлектрическую проницаемость и увеличит потери мощности.
  • Полипропилен (PP). Этот материал очень похож на полиэтилен, но имеет более широкий температурный диапазон от минус 30 до 105 градусов Цельсия. Он используется в основном для тонкостенных первичных изоляций. Полипропилен можно вспенивать для улучшения его электрических свойств.
  • Полиуретан (PUR). Полиуретан известен своей чрезвычайной прочностью, гибкостью и долговечностью при изгибе даже при низких температурах. У этого материала также есть превосходные оценки: химическая, водная инертность и стойкость к истиранию. Этот материал хорошо работает при использовании втягивающегося шнура и может быть незаменимым вариантом для солевых брызг и низкотемпературных военных целей. Полиуретан является легковоспламеняющимся материалом. Огнестойкая версия жертвует прочностью и чистотой поверхности. Однако основным недостатком полиуретана являются его плохие электрические свойства, что делает его пригодным только для курток.
  • Хлорированный полиэтилен (CPE). CPE обладает очень хорошей устойчивостью к воздействию тепла, масел и атмосферных воздействий. Много раз CPE служит более дешевой, экологически чистой альтернативой CSPE. Его надежная работа под воздействием огня также делает его выгодной заменой изоляции ПВС. Хлорированный полиэтилен обычно используется в силовых и контрольных кабелях, а также в промышленных электростанциях.
  • Нейлон. Нейлон обычно экструдируется поверх более мягких изоляционных составов. Он служит в качестве жесткой оболочки, проявляющей сильное истирание, сквозную и химическую стойкость, особенно в тонкостенных применениях. Это также чрезвычайно гибкий материал. Одним из недостатков нейлона является его способность поглощать влагу. Это ухудшает некоторые его электрические свойства.

Конструкция

Современный ПВС-провод состоит из нескольких переплетенных друг с другом медных жил, имеющих отдельную изоляцию из качественного поливинилхлорида. Дополнительно все жилы защищены ПВХ-оболочкой. Стандартный кабель имеет круглую форму сечения, хотя у модели ПВСП, как писалось выше, она будет овальной. Изоляционные материалы могут включать различные добавки, которые придают им дополнительные защитные функции (например, изделие не поддерживает процесс горения).

Каждая медная жила включает большое количество медных проволок. При скручивании каждой формируется плотный жгут. В соответствии с ГОСТ класс жил в ПВС должен быть не менее пятого. Подобный стандарт автоматически регламентирует минимальную толщину проволок, из которых формируется отдельная жила.

Если сечение каждой жилы в кабеле составляет 1 кв. мм, то диаметр используемых проволок не должен быть ниже 0,21 мм.

По нормативам, прописанным в ГОСТ, провод может выпускаться в следующих исполнениях: с двумя, тремя, четырьмя или пятью жилами. Площадь сечения варьируется в пределах 0,75-16 кв. мм. Более толстые разновидности кабеля производятся на специализированных заводах и необходимы для промышленной эксплуатации.

Разбирая ГОСТ, можно обнаружить очередное важное правило: в ПВС жилы скручиваются по левому направлению, однако плотность настолько высока, что заполнитель не применяется.

При выборе изоляционной оболочки производители стараются использовать материалы разных цветов, что упрощает выполнение задач по монтажу. Отдельные жилы могут окрашиваться в синий, коричневый, красный, желтый или даже желто-зеленый цвет. Фазный проводник обычно маркируется коричневым или красным цветом, нулевой – синим или голубым, заземление – двойным, желто-зеленым. Общая оболочка, под которой находятся все жилы, может иметь произвольный цвет (например, черный).

Верхний, наружный слой представляет собой поливинилхлоридную оболочку, которая накладывается по методу экструзии. В процесс одиночной укладки защитный слой не поддерживает горения. За счет своей пластичности оболочка заполняет любые промежутки, образовавшиеся между жилами, благодаря чему провод по форме становится круглым. Максимальное значение эксцентриситета составляет 10%.

Расцветка

К окраске внешней изоляции вышеуказанный ГОСТ особых требований не предъявляет, допускаются 10 вариантов цветов: белый, черный, серый и т.д.

Что касается окраски изоляции жил, то она должна соответствовать приведенной ниже таблице.

Таблица окраски изоляции жив в зависимости от их назначения и количества:

Кол-во жилПринятый стандарт расцветки
имеется заземляющая жилаОтсутствует заземляющая жила
2коричневая, голубая
3желто-зеленая, коричневая, голубаячерная, коричневая и голубая
4желто-зеленая, черная, коричневая, голубаяголубая, черная, коричнева, черная или коричневая
5желто-зеленая, голубая, черная, коричнева и черная или коричневаяголубая, черная, коричнева, черная или коричневая, черная или коричневая

Назначение в зависимости от окраски изоляции представлено на рисунке 3.


Рисунок 3. Расцветки по ГОСТу для нулевой, защитной и фазной жилы

Обратим внимание, что иногда встречается и белая окраска изоляции фазной жилы, что допустимо по номам международного стандарта.

Закончив с конструктивными особенностями и цветовым обозначением, перейдем к описанию основных параметров.

Срок службы провода ПВС

Срок службы должен указываться при покупке кабеля на его этикетке. В среднем указывается, что срок службы такой переноски до 5 лет, но на самом деле при правильных условиях эксплуатации в нормальной среде кабель может бесперебойно работать на протяжении более чем 10 лет. Если же среда использования провода агрессивная или влажная (горячая), то срок службы, естественно, сокращается.

Изучив описание ПВС кабеля, что это такое, каких видов он бывает и какими техническими и эксплуатационными характеристиками обладает, понятно, почему он используется не только электриками, но и огромным количеством людей по всему миру для решения разных задач.

Можно ли провод ПВС использовать на улице

Гибкий провод ПВС (ГОСТ 7399-97) оснащён поливинилхлоридной изоляцией и состоит из медных жил. Предназначен он для присоединения к электросети с напряжением до 380/660 В бытовых электроприборов разных видов и устройств аналогичного применения (холодильников, стиралок, приборов микроклимата). В том числе в инструментах малой механизации для садоводства – в тех ситуациях, где провод подвергается перетиранию и воздействию влаги.

Запретов на применение на улице нет, но стоит учесть, что провод имеет многопроволочную жилу, которая быстрее поддаётся коррозии в отличие от монолита. Так же провод ПВС быстро набирает влагу, которая остаётся внутри.

Особенность монтажа ПВС для прокладки в земле и снаружи

Первое, на что следует обратить внимание, – ПВС-провод не предназначен для подземной прокладки. Если в этом существует крайняя необходимость, то изделие в идеале нужно спрятать внутри двустенной трубы. В процессе прокладки кабеля на открытом воздухе необходимо использовать гофрированные трубы, крепящиеся к стенам и другим поверхностям стационарных объектов. В таком случае обязательно следует провести заземление.

Если нужно создать воздушную линию электропередач при помощи ПВС-провода, то выбирают кабель исключительно с медными жилами. При этом расстояние между началом и концом трассы должно быть минимальным. Скрытая проводка из ПВС-кабеля недопустима (его нельзя прятать под штукатуркой).

Несмотря на то, что кабель характеризуется непродолжительным сроком эксплуатации (для электрической проводки в доме шесть лет – действительно мало), его можно использовать при прокладке под стяжкой. Такой вариант уместен, если вы хотите сэкономить на покупке более качественного и долговечного провода. Благодаря набору уникальных свойств и защите от проникновения пыли и влаги ПВС может эксплуатироваться в помещениях с повышенным уровнем влажности.

Возможна дополнительная изоляция изделия с помощью термоусадочных трубок. Впрочем, даже такой вариант не спасет ПВС-кабель, который нельзя эксплуатировать непосредственно в воде, поскольку изоляция все равно будет накапливать влагу. Поскольку прокладка кабельных линий под натяжным потолком относится к скрытой разновидности, то ПВС-провод в таком случае опять же недопустим.

Преимущества и недостатки ПВС

Кабель ПВС неудобен при монтаже скрытой проводки, так как имеет круглую форму

Основное преимущество – относительно легкий вес, мягкость и гибкость шнура. Это дает возможность провести укладку в сложных системах, конструкциях с крутым радиусом перехода, большим количеством изгибов и поворотов.

Можно применить в электрических сетях на 220 и 380 вольт. Провод имеет стандартный класс огнестойкости. Материал изоляции не загорается от наружного пламени и не поддерживает горение. С его помощью не рекомендуется выполнять скрытый монтаж, так как срок эксплуатации не более 6 лет. Имея круглое сечение, неудобен для монтажа под штукатурку.

ПВС нашел широкое применение и пользуется большим спросом у покупателей. Однако для электропроводки лучше выбрать наиболее подходящий для этой цели кабель ВВГ, ВВГнг, или другой аналог.

Кабель ПВС в сравнении с ВВГ

По технико-эксплуатационным характеристикам ВВГ превосходит ПВС-провод, однако данные модели имеют разные предназначения.

При организации электрической проводки в доме, квартире, на промышленных объектах лучше всего использовать ВВГ-кабель, поскольку именно в этом заложено его основное назначение.

ПВС применяется там, где ВВГ неуместен, и может испортить общую картину. Либо в любых других ситуациях, когда эксплуатировать кабель ВВГ неудобно из-за его более высокой жесткости. Например, сложно будет представить ВВГ, используемый для коммутации микроволновой печи, утюга или фена. Смотрится нелепо, крайне нерационально, поэтому в таком случае альтернативы ПВС не существует.

ВВГ также нельзя использовать при обустройстве временного уличного освещения, конструировании удлинителей для подключения газонокосилки, шнуров при коммутации бойлеров и расширительных баков. Таким образом, сравнивать ВВГ и ПВС по техническим параметрам – неуместно, поскольку данные проводники предназначены для решения совершенно разных задач.

Как выбрать провод ПВС

Первое, на что следует обращать внимание при выборе любого электрического кабеля или провода – число и сечение жил, подбираемые в соответствии с условиями эксплуатации. Подбирать ПВС нужно в зависимости от мощности электрических приборов, которые будут через него коммутироваться к сети. Важное значение имеет наличие или отсутствие заземляющей жилы, позволяющей соединить электроприбор и контур заземления. К примеру, при прокладке сети промышленного назначения нужно использовать ПВС с четырьмя жилами. По крайней мере, именно так прописано в правилах ПУЭ.

При осмотре товара убедитесь в отсутствии каких-либо дефектов на изоляции, ее надлежащем качестве. Опробуйте ее на прочность, поскольку изоляция не должна повреждаться или разрываться от прикосновений. В противном случае кабель прослужит недолго, да еще и будет представлять опасность.

Каждый производитель должен представить образец своего провода. Изучая его, убедитесь в правильной скрутке отдельной жилы. Судить о плохом качестве стоит по наличию пятен, обрывов, разных цветов и прочих дефектов, которые видимы вашему глазу. На маркировке можно увидеть не только количество жил и площадь их сечения, но и узнать о процентном содержании меди.

Чтобы обеспечить безопасную и энергетически эффективную эксплуатацию электрического оборудования, важно выбрать подходящий ПВС-провод. Если в процессе выбора изделия вы столкнулись с какими-либо трудностями, то обратитесь за помощью к профессиональным монтажникам или консультантам магазина. Впрочем, верить каждому слову последних не стоит. В идеале вы должны изучить основную информацию касаемо ПВС и, вооружившись знаниями, отправляться за покупками.

Вывод

Благодаря тому, что ПВС провода характеристики имеют более чем удовлетворительные, их сфера применения растет с каждым днем. Простота монтажа, удобство эксплуатации и высокие технические параметры позволяют применять его практически для любых целей как профессионалами, так и любителями. А вполне доступная цена на медные провода ПВС еще больше расширяют сферу их применения.

Видео по теме

Источники

  • https://ProFazu.ru/provodka/cable-wire/provod-pvs.html
  • https://rusenergetics.ru/provoda-i-kabeli/pvs
  • https://Elektrik-a.su/kabeli-i-provoda/silovye/provod-pvs-273
  • https://www.asutpp.ru/provod-pvs.html
  • https://OFaze.ru/elektrosnabzhenie/provod-pvs
  • https://220. guru/electroprovodka/provoda-kabeli/provod-pvs.html
  • https://meanders.ru/provod-pvs.shtml
  • https://StrojDvor.ru/elektrosnabzhenie/rasshifrovka-markirovki-i-texnicheskie-xarakteristiki-provoda-pvs/

Провод ПВС — расшифровка и характеристики

Провод ПВС, расшифровка которого звучит как «провод в виниловой оболочке соединительный», применяется для передачи электроэнергии в производственных и бытовых условиях.

Поскольку этот кабель является соединительным, он не предназначен для прокладывания стационарной электропроводки, а используется исключительно для соединения электроприборов с сетью.

Особенности провода ПВС

ПВС состоит из двух или более медных жил, перевитых между собой для обеспечения большего сопротивления и передачи напряжения из сети. Его можно использовать в устройствах, не требующих большой мощности (например, в зарядных устройствах или дверных звонках, а также для подключения бытовой электротехники).

Использование медных жил обусловлено их высокой токопроводимостью, прочностью и пластичностью, высоким коэффициентом термического расширения и устойчивостью к коррозии.

Кроме того, медные нити удобны при проведении ремонтных работ, они легко паяются, а также совместимы с электрическими резисторами и изоляторами. Иногда в таких кабелях используют алюминиевые жилы, основным преимуществом которых является отсутствие нагрева, что положительно сказывается на скорости и мощности передачи электрического тока.

Кабель из алюминия намного легче медного, его стоимость намного ниже, а гибкость и долговечность превышают показатели медного провода.

Технические характеристики

Существуют различные виды этих кабелей — например, ПВС 2х0,5 или ПВС 3х1,5. Провод ПВС, расшифровка у которого показывает количество жил и их сечение, универсален. Количество жил может быть от 2 до 5, а диаметр их сечения от 0,75 до 2,5 мм2. Минимальный диаметр кабеля составляет 5,7 мм, максимальный – 13,9 мм.

Диапазон температур, при которых рекомендуется использовать этот провод, колеблется от -25 до +40оС при относительной влажности воздуха до 98%, а У — вариация может выдерживать температуру до -40оС. Номинальное напряжение не должно быть выше 380 В. Срок службы составляет от 6 до 10 лет.

Оболочка и изоляция предотвращают деформацию кабеля, они не подвержены процессу горения, что делает его безопасным для применения в быту.

Существует много дополнительных маркировок, обозначающих провод ПВС, расшифровка которых указывает на его дополнительные свойства и характеристики. Так, например, буква «А» в начале маркировки указывает на алюминий в качестве материала для жил, а буква «Б» означает наличие защитной брони с антикоррозионным покрытием.

Провод бытовой (ШВВП; ПВС)

Где купить бытовой провод?

Бытовой провод  можно купить в компании «СтройТрэйд» заказав его по телефону или через форму обратной связи на сайте. Эти провода используются для подключения холодильного оборудования, компьютерной техники, кухонных электромеханических приборов, радиоэлектронной аппаратуры, стиральных машин и других подобных приборов, эксплуатируемых в жилых и административных помещениях.

Существует несколько разновидностей бытовых проводов: ШВВП, ПВС, ШБА.

Расшифровка провода ШВВП:

  • Ш — Шнур
  • В — Изоляция жил из поливинилхлоридного пластиката
  • В — Оболочка из поливинилхлоридного пластиката
  • П — Плоский

Элементы констркуции провода ШВВП:

1. Токопроводящая жила.
2. Изоляция.
3. Оболочка.

Где применяется ШВВП

Этот вид провода широко используется в самой разнообразной технике, такой как бытовая техника для дома, различный электроинструмент или стиральные машины. Отдельным пунктом можно выделить удлинители. Кроме того, в ряде случаев данный вид провода может прокладываться внутри стен, в желобах. Сложно представить себе любое электрооборудование без кабеля ШВВП.

Технические характеристики ШВВП

  • Номинальное напряжение (для сетей 380/380В), В380
  • Срок службы, не менее, лет6
  • Температура эксплуатации, °С-25/+40
  • Максимальная температура токопроводящей жилы, не более, °С+70
  • Минимальный радиус изгиба при эксплуатации, не менее, мм30

Структура шнура этой марки.

Шнур с параллельными многопроволочными медными жилами, с поливинилхлоридной изоляцией, с поливинилхлоридной защитой, эластичный, на напряжение до 380 В для систем 380/380 В. Обычно провод ШВВП производят в трех разных исполнениях: У, Т, УХЛ. «У» — для умеренного климата, «Т» для тропического и «УХЛ» для умеренного и холодного климата. Именно от варианта исполнения зависит диапазон температур, в которых работает ШВВП. Имеется также модификация ШВВПн, которая от обычного отличается тем, что его можно прокладывать с другими проводами. А изоляция, и оболочка сделана из ПВХ — поливинилхлорида, который устойчив к воздействию влаги, огня и УФ-излучения. Сопротивление кабеля зависит от сечения. Соответствует ГОСТам и требованиям ГОСТ 7399-97, МЭК 227. Существует двух- и трехжильный.

Сфера использования провода марки ПВС

Заказать провод марки ПВС можно в компании «СтройТрэйд». А теперь расскажем о нём более подробно. Бронированные кабели электропроводки с двойной резиновой изоляцией с гибкой металлической жилой применялись еще в начале 20-го столетия, с их помощью производилась передача электричества на большие расстояния и обеспечение работоспособности заводов и предприятий в период модернизации производства по всей стране.

Электрический кабель с полимерной изоляцией для электропроводки ПВС представляет собой провод с двумя или более жёсткими медными электрическими жилами, которые обмотаны специальной оболочкой из хлопка либо бумаги, которая была подвергнута обработке специальными веществами с низким дымовыделением. Также иногда используется деготь, который противостоит ржавлению нитей электропровода АППВС, ВВГ, ШВВП, ПУГНП, ПУНП, ППВС, ПВС3, ПВСН, ПВСНГ и прочим маркам.

Расшифровка провода ПВС:

  • П – Провод
  • В — Изоляция и оболочка из поливинилхлоридного пластиката
  • С – Соединительный

Элементы конструкции провода ПВС:

1. Токопроводящая жила.
2. Изоляция.
3. Оболочка.

Область применения провода ПВС

Провод с гибкими медными жилами, предназначен для присоединения электрических машин и приборов бытового и аналогичного применения к электрической сети, для электроприборов и электроинструмента по уходу за жилищем и его ремонту, стиральных машин, холодильников, средств малой механизации для садоводства и огородничества и для изготовления шнуров удлинительных.

Технические характеристики провода ПВС

  • Электрическое сопротивление на 1 км — не более 270 Ом ПВХ изоляция и оболочка проводов стойка к деформации при температуре 70 оС и к растрескиванию.
  • Условия эксплуатации провода ПВС
  • Эксплуатация при температуре окружающей среды от -25 оС до +40 оС.
  • Максимальная рабочая температура жилы — 70 оС.
  • Радиус изгиба — не менее 40 мм.
  • Не распространяют горение. Провода стойки к поражению плесневыми грибами.
  • Срок службы — не менее 10 лет.
  • Онлайн заявка

  • Провод ШВВП таблица

     

  • Провод ПВС таблица

     

Количество и сечение жил, шт х кв.мм

Масса шнура, кг/км

Максимальный наружный размер, мм

ШВВП

2х0,5

27,1

3,4х5,4

2х0,75

33,7

3,6х5,8

3х0,5

38

3,3х7,4

Количество и сечение жил, шт х кв. мм

Масса провода, кг/км

Наружный диаметр, мм

ПВС

2х0,75

57,6

6,6

2х1,0

66,4

7

2х1,5

88,5

8,2

2×4,0

176,4

12,1

3х0,75

68,2

7

3х1,0

77,8

7,6

3х1,5

110,9

8,8

3х4,0

222,6

13,1

4х0,75

77,1

7,8

4х4,0

274

14,3

5х4,0

348,7

16,1

7×1,0

179

12

7×1,5

254

14

7×2,5

384

17

ПВС — это.

.. Что такое ПВС? ПВС

продовольственно-ветеринарная служба

Латвия, мед.

Источник: http://www.regnum.ru/expnews/277546.html

ПВС

Президиум Верховного Совета

Источник: Словарь юридических и экономических терминов. Д. Дечи, Ш. Карчаи. — т. 1

ПВС

поливиниловый спирт

хим.

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

ПВС

периферийная вычислительная система

ПВС

передвижная видеозаписывающая станция

  1. ПВЗ
  2. ПВС

Пермский велосипедный завод

ОАО

г. Пермь, организация

  1. ПВС

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

ПВС

Переходный военный совет

воен., Судан

ПВС

Повстанческие вооружённые силы

воен., Гватемала

Словарь: С. Фадеев. Словарь сокращений современного русского языка. — С.-Пб.: Политехника, 1997. — 527 с.

ПВС

поливинилстирол

хим.

ПВС

паспортно-визовая служба

Словарь: Словарь сокращений и аббревиатур армии и спецслужб. Сост. А. А. Щелоков. — М.: ООО «Издательство АСТ», ЗАО «Издательский дом Гелеос», 2003. — 318 с.

ПВС

передвижная видеостудия

в маркировке

  1. ПСВ
  2. ПВС

пиковая скорость выхода

мед.

ПВС

паспортно-визовый сервис

ПВС

поверхностные воды суши

ПВС

просечно-вытяжная сетка

Источник: http://www.tdmuravey.ru/catalogue/s28/s28s4/

ПВС

проект высокой сложности

Источник: http://www. cfin.ru/anticrisis/methodical_material/consultants/mobilize.shtml

ПВС

персистирующее вегетативное состояние

мед.

ПВС

психо-вегетативный синдром

мед.

ПВС

полная восстановительная стоимость

Источник: http://www.ocenchik.ru/vocabulary/v?id=386

ПВС

паровоздушная смесь

Источник: http://www.erudition.ru/referat/printref/id.31217_1.html

ПВС

потенциал восстановления сульфатов

хим.

Источник: http://leda.uni-smr.ac.ru/RJ/04/04R2R/04R2R2/97point03-04R2R2point.html

ПВС

Партия великой страны

полит., Южная Корея

Источник: http://www.izvestia.ru/news/news145529/

ПВС

паспортно-визовая система

Источник: http://e-rus.ru/site.shtml?id=11&n_id=10150

ПВС

повреждение воздушного судна (на земле)

авиа

ПВС

пункт восстановительных средств

метро

ПВС

пылевентиляционная служба

ПВС

паровоздуходувная станция

ср. : ПВЭС

Источник: http://ktogmpr.rdtc.ru/doc/2005_tiajol.doc

ПВС

постоянное виртуальное соединение

Источник: http://dj2.axenet.ru/FWORD.html

Словарь сокращений и аббревиатур. Академик. 2015.

Описание, расшифровка и технические характеристики провода ПВС

Всем привет. Рад вас видеть у себя на сайте. И сегодня, мы с вами, поговорим о том, как расшифровать маркировку провода ПВС, и так же рассмотрим его основные технические характеристики.

Один из самых широко применяемых работниками электрослужб при подключении различных электрических приборов, а так же и обычными людьми в быту является провод ПВС.

Маркируется провод буквами и цифрами. А расшифровуется следующим образом:

  • первая цифра в маркировке указывает на количество жил в проводе;
  • вторая цифра – это сечение одной жилы провода;
  • первая буква «П» — означает, что это провод;
  • вторая буква «В» — указывает на то, что изоляция из поливинилхлорида;
  • третья буква «С» — означает, что данный провод соединительный.

Ещё на проводе заводы изготовители обычно пишут дату изготовления (в большинстве случаев это только год), и метраж. Что заметьте очень удобно, если вам нужен кусок провода, то его легко можно отмерять без применения каких-то дополнительных средств.

Что касается последней буквы «С» в буквенной маркировке, то, что провод соединительный, это исключает его из списка кабелей, которые прокладываются для подключения стационарных электрических сетей.

Конструкция провода ПВС.

Данный провод может иметь от двух до пяти токопроводящих жил переплетённых между собой и защищены внешней изоляцией. Все жилы провода имеют разноцветную изоляцию.

Из статьи цветная маркировка проводов и кабелей, мы помним, что красным цветом обычно окрашивается фазный провод, синим цветом – нулевой, а жёлто-зелёным – заземление. Внешняя изоляция обычно имеет белый цвет.

В интернете я встречал случаи, что люди пишут, мол, жилы этого провода бываю белого цвета. Но в своей практике, я таких случаев не встречал.

Тот факт, что данный провод имеет многопроволочную жилу, делает его очень гибким. Поэтому на производстве им часто подключают разного рода передвижное оборудование. Например: передвижной насос, переносной светильник, вентилятор для охлаждения и так далее.

В быту из провода ПВС можно легко сделать удлинитель. Такая переноска служить вам намного дольше, еже ли сделать переноску из другого кабеля.

Технические характеристики ПВС.

Провод ПВС обладает очень хорошими техническими характеристиками, которые дают возможность использовать его во многих случаях, где нужно подключить потребителя к источнику питания (тока). Только при выборе провода нужно обратить внимание на количество токопроводящих жил, и путём расчёта выбрать правильное сечение.

Ещё следует обратить внимание на окружающую среду, в которой он будет эксплуатироваться.

Общие характеристики провода ПВС:

  • Провод рассчитан на максимальное напряжение 450 В.
  • Нормальной рабочей температурой считается диапазон от -250 С до +400 С. Максимальная Температура нагрева не должна превышать +700 С. Минимальная температура для монтажных работ не должна быть ниже -200 С.
  • Изоляция (на проводе) не распространяет горение, но при этом легко подвергается воздействию высоких температур.
  • Срок службы в зависимости от эксплуатации составляет от 6 до 10 лет.

От себя хочу добавить, что на практике этот срок намного дольше.

Смотрите видео ролик по теме.

Теперь хотелось бы сделать небольшое отступление, и поговорить о том, можно ли делать дома проводку проводом ПВС.

Опираясь на заявленный маленький срок службы, многие специалисты не советуют делать электропроводку в жилых помещениях этим проводом. Но практика показывает совсем обратное. У себя дома я делал проводку именно этим проводом, и уже эксплуатирую её более 10 лет. И за всё это время никаких проблем не было.

Ведь те 6 лет, которые заявлены заводом изготовителем – это минимальное время службы в условиях постоянных нагрузок и воздействия окружающей среды.

А теперь подумайте, если провод будет эксплуатироваться у вас дома находясь в неподвижном состоянии, под слоем штукатурки или под гипсокартонном, с минимальными или кратковременными токовыми нагрузками. Во сколько раз может увеличиться его срок службы?

И к тому же у него есть ряд преимуществ перед так сказать «лапшой», которую зачастую применяют для монтажа электропроводки.

1. Он имеет двойную изоляцию.

2. Очень гибкий, что позволяет сгибать его в разные стороны при монтаже.

3. У многопроволочной жилы есть свои плюсы при монтаже (конечно, есть и минусы).

4. Все токопроводящие жилы разноцветные, что в разы облегчает и ускоряет монтаж.

Думаю, что этот список довольно внушителен, чтобы отдать ему предпочтение.

Разновидности провода ПВС.

Существует несколько разновидностей провода:

ПВС нг – LS – расшифровываются последние буквы аббревиатуры «нг» — не горючий, LS – при пожаре выделяет низкое количество газов и дыма;

ПВС – Тнг – LS – то же самое, что и предыдущий провод, но этот ещё и облегчённый;

ПВС – ТТнг – LS – имеет утолщённую изоляцию;

ПВС – ТSнг – LS – этот вид предназначен для стационарной прокладки.

Все эти вышеперечисленные разновидности из-за своей дороговизны используются крайне редко. Их применяют только в помещениях с высокой пожароопасностью.

Ещё один вид ПВСП – последняя буква означает, что провод плоский. Этот так же широко используется на предприятиях и в быту. Выглядит он вот так.

На этом у меня всё. Если статья была вам полезной, то жмите на кнопки социальных сетей, и подписывайтесь на обновления. Свои вопросы, пожелания и дополнения пишите в комментариях. С радостью на них отвечу. Пока.

С уважением Александр!

Читайте также статьи:

Провод ПВС 3х0,75 Автопровод ГОСТ ПВС 3х0,75 АП

Провод ПВС 3х0,75 мм2, гибкий, многожильный. Автопровод

Провод с медной многопроволочной жилой с изоляцией из ПВХ-пластиката, в оболочке из такого же материала. Предназначен для присоединения к сети бытовых электрических приборов различного назначения.

  • Рассчитан на использование в сетях переменного напряжения (до 380В).
  • Применяется при изготовлении удлинителей
  • Изготовлен с соблюдением ГОСТ
  • Производитель — Щучинский завод «Автопровод» (Белоруссия)

Расшифровка обозначения

Первая цифра обозначает количество жил, вторая —  сечение токопроводящей жилы, в мм2. Таким образом, провод ПВС 3х07,5 имеет 3 токопроводящие жилы по 0,75 мм2

Выбор сечения в зависимости от силы тока

Сечение жилы, мм

0,5

0,75

1,0

1,5

2,5

4,0

6,0

10,0

16,0

Номинальный ток, А, (не более)

2,5

6,0

10,0

16,0

25,0

32,0

40,0

50,0

60,0

Продажа кабеля ПВС в нарезку

Кабель и провод можно купить в нарезку в любом количестве. Чтобы сделать заказ — введите желаемое количество метров («метр» равнозначно «шт.») и нажмите кнопку «В корзину». 

Оптовая закупка

Для оптовых закупок отправьте заявку через форму обратной связи (выберите в теме «Оптовые поставки, запрос цен, условий сотрудничества»). Можете приложить файлы в формате Word, Excel.

Характеристики

Марка

ПВС

Материал проводника

Медь (Cu) без покрытия

Количество основных жил

3

Номинальное сечение основных жил

0,75 мм²

Класс проводника

5 (многопроволочная гибкая жила)

Изоляция жилы

Поливинилхлорид (ПВХ)

Маркировка жил

Цвет

Защитный проводник

Да

Материал внешней оболочки

Поливинилхлорид (ПВХ)

Цвет внешней. оболочки

Белый

Исполнение

Круглый

Максимальная температура проводника

70 °C

Рабочая температураи

-25 … +40 °C

Номинальное напряжение U (линейное)

380 В

Завод «Автопровод»

Щучинский завод «Автопровод», основанный 1958 году, начал свою деятельность с производства автомобильного провода. 

В настоящее время завод производит более 250 видов кабельной продукции с алюминиевыми и медными жилами. Вся продукция имеет сертификат качества и соответствует необходимым требованиям безопасности (в том числе и пожарной). Высокий уровень качества подтверждается неизменным спросом. 

Предприятие входит в число ведущих поставщиков соединительных шнуров и проводов, используемых в машиностроительной промышленности (БелАЗ, Лидсельмаш, МАЗ, Гомсельмаш и пр. ).

Провод ПВС 3х0,75 Автопровод ГОСТ
Изображения и характеристики данного товара, в том числе цвет, могут отличаться от реального внешнего вида. Комплектация и габариты товара могут быть изменены производителем без предварительного уведомления. Описание на данной странице не является публичной офертой.

Провод ПВС 3х0,75 Автопровод ГОСТ — цена, фото, технические характеристики. Для того, чтобы купить Провод ПВС 3х0,75 Автопровод ГОСТ в интернет-магазине prestig.ru, нажмите кнопку «В КОРЗИНУ» и оформите заказ, это займет не больше 3 минут. Для того чтобы купить Провод ПВС 3х0,75 Автопровод ГОСТ оптом, свяжитесь с нашим оптовым отделом по телефону +7 (495) 664-64-28

Шифрование секретных данных в состоянии покоя

На этой странице показано, как включить и настроить шифрование секретных данных в состоянии покоя.

Прежде чем начать

  • У вас должен быть кластер Kubernetes, а инструмент командной строки kubectl должен быть настроенным для связи с вашим кластером. Рекомендуется запускать это руководство в кластере, по крайней мере, с двумя узлами, которые не действуют как хосты уровня управления. Если у вас еще нет кластер, вы можете создать его, используя миникубе или вы можете использовать одну из этих игровых площадок Kubernetes:

    Ваш сервер Kubernetes должен быть не ниже версии 1.13. Чтобы проверить версию, введите kubectl version .
  • etcd v3.0 или более поздней версии

Конфигурация и определение того, включено ли уже шифрование в состоянии покоя

Процесс kube-apiserver принимает аргумент --encryption-provider-config это контролирует, как данные API шифруются в etcd. Пример конфигурации представлен ниже.

Общие сведения о конфигурации шифрования в состоянии покоя.

  apiВерсия: apiserver.config.k8s.io/v1
вид: EncryptionConfiguration
Ресурсы:
  - Ресурсы:
    - секреты
    провайдеры:
    - личность: {}
    - aesgcm:
        ключи:
        - имя: key1
          секрет: c2VjcmV0IGlzIHNlY3VyZQ ==
        - имя: key2
          секрет: dGhpcyBpcyBwYXNzd29yZA ==
    - aescbc:
        ключи:
        - имя: key1
          секрет: c2VjcmV0IGlzIHNlY3VyZQ ==
        - имя: key2
          секрет: dGhpcyBpcyBwYXNzd29yZA ==
    - секретный ящик:
        ключи:
        - имя: key1
          секрет: YWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXoxMjM0NTY =
  

Каждый элемент массива ресурсов представляет собой отдельную конфигурацию и содержит полную конфигурацию.В resources.resources Поле представляет собой массив имен ресурсов Kubernetes ( ресурс или resource.group ) это должно быть зашифровано. Массив провайдеров представляет собой упорядоченный список возможных вариантов шифрования. провайдеры. Для каждой записи может быть указан только один тип провайдера (можно указать identity или aescbc , но не оба в одном элементе).

Первый провайдер в списке используется для шифрования ресурсов, поступающих в хранилище. При чтении ресурсы из хранилища каждый провайдер, который соответствует сохраненным данным, пытается расшифровать данные в порядок.Если ни один провайдер не может прочитать сохраненные данные из-за несоответствия формата или секретного ключа, возникает ошибка. возвращается, что предотвращает доступ клиентов к этому ресурсу.

Осторожно: ВАЖНО: Если какой-либо ресурс не доступен для чтения через конфигурацию шифрования (из-за изменения ключей), единственный выход — удалить этот ключ напрямую из базового etcd. Звонки, которые пытаются читать этот ресурс не удастся, пока он не будет удален или пока не будет предоставлен действительный ключ дешифрования.

Провайдеров:

Провайдеры для шифрования Kubernetes в состоянии покоя
Имя Шифрование Прочность Скорость Длина ключа Прочие соображения
идентификатор Нет НЕТ НЕТ НЕТ Ресурсы, записанные как есть, без шифрования. При установке в качестве первого поставщика ресурс будет расшифровываться по мере записи новых значений.
aescbc AES-CBC с заполнением PKCS # 7 Самый сильный Быстрый 32-байтовый Рекомендуемый выбор для шифрования в состоянии покоя, но может быть немного медленнее, чем secretbox .
секретный ящик XSalsa20 и Poly1305 Сильный Быстрее 32-байтовый Более новый стандарт, который может считаться неприемлемым в средах, требующих тщательной проверки.
aesgcm AES-GCM со случайным nonce Должен вращаться каждые 200 тыс. Записей Самый быстрый 16, 24 или 32 байта Не рекомендуется использовать, за исключением случаев, когда реализована схема автоматической смены ключей.
км Использует схему шифрования конверта: данные шифруются ключами шифрования данных (DEK) с использованием AES-CBC с заполнением PKCS # 7, DEK зашифровываются ключами шифрования ключей (KEK) в соответствии с конфигурацией в службе управления ключами (KMS) Самый сильный Быстрый 32 байта Рекомендуемый выбор для использования стороннего инструмента для управления ключами.Упрощает ротацию ключей с новым DEK, генерируемым для каждого шифрования, и ротацией KEK, контролируемой пользователем. Настроить KMS-провайдер

Каждый провайдер поддерживает несколько ключей — ключи проверяются для расшифровки, и если провайдер — первый провайдер, первый ключ используется для шифрования.

Сохранение необработанного ключа шифрования в EncryptionConfig лишь незначительно улучшает состояние вашей безопасности по сравнению с отсутствием шифрования. Пожалуйста, используйте провайдер км / сек для дополнительной безопасности. По умолчанию провайдер идентификации используется для защиты секретов в etcd, которые не обеспечивает шифрования. EncryptionConfiguration был представлен для локального шифрования секретов с помощью локально управляемого ключа.

Шифрование секретов с помощью локально управляемого ключа защищает от компрометации etcd, но не защищает от компрометации хоста. Поскольку ключи шифрования хранятся на хосте в YAML-файле EncryptionConfig, опытный злоумышленник может получить доступ к этому файлу и извлеките ключи шифрования.

Шифрование конверта создает зависимость от отдельного ключа, не хранящегося в Kubernetes. В этом случае злоумышленнику потребуется взломать etcd, kubeapi-server и стороннего поставщика KMS для получения значений открытого текста, обеспечивая более высокий уровень безопасности, чем локально хранимые ключи шифрования.

Шифрование данных

Создайте новый файл конфигурации шифрования:

  apiВерсия: apiserver.config.k8s.io/v1
вид: EncryptionConfiguration
Ресурсы:
  - Ресурсы:
    - секреты
    провайдеры:
    - aescbc:
        ключи:
        - имя: key1
          секрет: 
    - личность: {}
  

Чтобы создать новый секрет, выполните следующие действия:

  1. Создает 32-байтовый случайный ключ и кодирует его в формате base64.Если вы используете Linux или macOS, выполните следующую команду:

      head -c 32 / dev / urandom | base64
      
  2. Поместите это значение в секретное поле.

  3. Установите флаг --encryption-provider-config на kube-apiserver , чтобы он указывал на расположение файла конфигурации.

  4. Перезагрузите сервер API.

Внимание: Ваш файл конфигурации содержит ключи, которые могут расшифровать содержимое в etcd, поэтому вы должны правильно ограничить разрешения на своих мастерах, чтобы только пользователь, запускающий kube-apiserver, мог его прочитать.

Проверка шифрования данных

Данные зашифрованы при записи в etcd. После перезапуска kube-apiserver все вновь созданные или обновленный секрет должен быть зашифрован при хранении. Для проверки вы можете использовать командную строку etcdctl программа для получения содержимого вашего секрета.

  1. Создайте новый секрет с именем secret1 в пространстве имен по умолчанию :

      kubectl create secret generic secret1 -n default --from-literal = mykey = mydata
      
  2. Используя командную строку etcdctl, прочтите этот секрет из etcd:

    ETCDCTL_API = 3 etcdctl get / registry / secrets / default / secret1 [...] | hexdump -C

    , где [...] должны быть дополнительными аргументами для подключения к серверу etcd.

  3. Убедитесь, что сохраненный секрет имеет префикс k8s: enc: aescbc: v1: , который указывает, что провайдер aescbc зашифровал полученные данные.

  4. Убедитесь, что секрет правильно расшифрован при получении через API:

      kubectl описать секрет secret1 -n по умолчанию
      

    должно соответствовать mykey: bXlkYXRh , mydata закодированы, проверьте декодирование секрета для полностью расшифровать секрет.

Обеспечить шифрование всех секретов

Поскольку секреты шифруются при записи, выполнение обновления секрета зашифрует это содержимое.

  kubectl получить секреты --all-namespaces -o json | kubectl заменить -f -
  

Приведенная выше команда считывает все секреты, а затем обновляет их, чтобы применить шифрование на стороне сервера.

Примечание: Если ошибка возникает из-за конфликтующей записи, повторите команду. Для более крупных кластеров вы можете разделить секреты по пространству имен или создать сценарий обновления.

Поворот ключа дешифрования

Для смены секрета без простоев требуется многоэтапная операция, особенно в наличие высокодоступного развертывания, в котором запущено несколько процессов kube-apiserver .

  1. Сгенерировать новый ключ и добавить его в качестве записи второго ключа для текущего провайдера на всех серверах
  2. Перезапустите все процессы kube-apiserver , чтобы каждый сервер мог расшифровать с использованием нового ключа
  3. Сделайте новый ключ первой записью в массиве ключей , чтобы он использовался для шифрования в конфигурации
  4. Перезапустите все процессы kube-apiserver , чтобы каждый сервер теперь шифровал с использованием нового ключа
  5. Запустить kubectl получить секреты --all-namespaces -o json | kubectl replace -f - , чтобы зашифровать все существующие секреты новым ключом
  6. Удалите старый ключ дешифрования из конфигурации после резервного копирования etcd с новым используемым ключом и обновите все секреты

С одним kube-apiserver шаг 2 можно пропустить.

Расшифровка всех данных

Чтобы отключить шифрование при хранении, поместите провайдер идентификации в качестве первой записи в конфигурации:

  apiВерсия: apiserver.config.k8s.io/v1
вид: EncryptionConfiguration
Ресурсы:
  - Ресурсы:
    - секреты
    провайдеры:
    - личность: {}
    - aescbc:
        ключи:
        - имя: key1
          секрет: 
  

и перезапустите все процессы kube-apiserver . Затем запустите:

  kubectl получить секреты --all-namespaces -o json | kubectl заменить -f -
  

, чтобы все секреты были расшифрованы.

Последнее изменение 27 июля 2021 г., 23:34 по тихоокеанскому стандартному времени : Исправить ссылку на расшифровку секрета (2fe20a8ac)

Шифрование виртуальных каналов Kubernetes с помощью Google Cloud KMS


Зашифрованные тома Portworx

Portworx имеет два разных типа зашифрованных томов:

Зашифрованные тома — это обычные тома, к которым можно получить доступ только с одного узла.

Зашифрованный общий том позволяет получить доступ к одному зашифрованному тому с нескольких узлов.

Шифрование с использованием секретов тома

В этом методе каждый том будет использовать свою уникальную парольную фразу для шифрования. Portworx генерирует уникальную 128-битную парольную фразу. Эта кодовая фраза будет использоваться во время шифрования и дешифрования. Если вы не хотите, чтобы Portworx генерировал для вас парольные фразы, используйте именованные секреты, как указано здесь

Шаг 1. Создание класса хранения

Создайте класс хранения с параметром secure , установленным на true .

  вид: StorageClass
apiVersion: storage.k8s.io/v1
метаданные:
  имя: px-secure-sc
провайдер: kubernetes.io/portworx-volume
параметры:
  secure: "правда"
  ответ: "3"  

Чтобы создать общий зашифрованный том , установите для параметра shared также значение true .

Шаг 2. Создайте требование постоянного тома
  вид: PersistentVolumeClaim
apiVersion: v1
метаданные:
  имя: mysql-data
  аннотации:
    объем.beta.kubernetes.io/storage-class: px-secure-sc
спецификация:
  storageClassName: px-mysql-sc
  accessModes:
    - ReadWriteOnce
  Ресурсы:
    Запросы:
      память: 2Gi  

Если вы не хотите указывать флаг secure в классе хранения, но хотите зашифровать PVC, используя этот класс хранения, создайте PVC, как показано ниже:

  вид: PersistentVolumeClaim
apiVersion: v1
метаданные:
  имя: secure-pvc
  аннотации:
    px / secure: "правда"
спецификация:
  storageClassName: portworx-sc
  accessModes:
  - ReadWriteOnce
  Ресурсы:
    Запросы:
      память: 2Gi  

Обратите внимание на аннотацию px / secure: "true" на объекте PVC.

Шифрование с использованием общего секрета кластера

В этом методе для кластера Portworx будет установлен секрет всего кластера по умолчанию. Такой секрет будет обозначен пользователем и Portworx как секрет по умолчанию . Любой запрос PVC, ссылающийся на секретное имя как по умолчанию , будет использовать этот общекластерный секрет в качестве ключевой фразы для шифрования тома.

Шаг 1. Установите общий секретный ключ кластера

Используйте следующую команду для установки секретного ключа всего кластера

  pxctl secrets set-cluster-key --secret   
  Успешно установлен секретный ключ кластера!  

<пароль> в приведенной выше команде будет использоваться для шифрования томов.Секретный ключ кластера необходимо задать только один раз.

НЕ перезаписывайте общий секретный ключ кластера, иначе любые существующие тома, использующие его, не будут использоваться.

Шаг 2. Создание класса хранения

Создайте класс хранения с параметром secure , установленным на true .

  вид: StorageClass
apiVersion: storage.k8s.io/v1
метаданные:
  имя: px-secure-sc
провайдер: kubernetes.io/portworx-volume
параметры:
  secure: "правда"
  ответ: "3"  

Чтобы создать общий зашифрованный том , установите для параметра shared также значение true .

Шаг 3. Создайте требование постоянного тома
  вид: PersistentVolumeClaim
apiVersion: v1
метаданные:
  имя: mysql-data
  аннотации:
    px / секрет-имя: по умолчанию
    volume.beta.kubernetes.io/storage-class: px-secure-sc
спецификация:
  storageClassName: px-mysql-sc
  accessModes:
    - ReadWriteOnce
  Ресурсы:
    Запросы:
      память: 2Gi  

Обратите внимание на аннотацию px / secret-name: default . Эта аннотация указывает, что Portworx использует секрет по умолчанию для шифрования тома.В этом случае НЕ создаст новую парольную фразу для этого тома и НЕ будет использовать шифрование для каждого тома. Если аннотация не предоставлена, Portworx будет использовать рабочий процесс шифрования тома, как описано в предыдущем разделе

.

Опять же, если для вашего класса хранения не установлен флаг secure , но вы хотите зашифровать PVC с использованием того же класса Storage, добавьте аннотацию px / secure: "true" к указанному выше PVC.

Если вы хотите перенести зашифрованные тома, созданные с помощью этого метода, между двумя разными кластерами Portworx:
  1. Создайте секрет с тем же именем (–secret_id) с помощью Portworx CLI
  2. Убедитесь, что вы ввели ту же парольную фразу при генерации секрета.

Шифрование с использованием именованных секретов

В этом методе Portworx будет использовать созданный вами именованный секрет для шифрования и дешифрования тома.

Шаг 1. Создание именованного секрета

Используйте следующую команду интерфейса командной строки, чтобы создать новый секрет в Google Cloud KMS и предоставить ему идентификатор / имя:

  pxctl секреты gcloud create-secret --secret_id mysecret --passphrase mysecretpassphrase  

Приведенная выше команда создаст новую пару ключ-значение mysecret = mysecretpassphrase .Portworx будет использовать Google Cloud KMS для шифрования парольной фразы mysecretpassphrase и сохранения ее во внутреннем хранилище метаданных. Чтобы использовать эту парольную фразу для шифрования томов, предоставьте Portworx только секретный идентификатор mysecret при создании / присоединении тома.

Чтобы перечислить все названные секреты, используйте следующую команду:

  pxctl секреты gcloud list-secrets  
Шаг 2. Создание класса хранения

Создайте класс хранения с параметром secure , установленным на true .

  вид: StorageClass
apiVersion: storage.k8s.io/v1
метаданные:
  имя: px-secure-sc
провайдер: kubernetes.io/portworx-volume
параметры:
  secure: "правда"
  ответ: "3"  

Чтобы создать общий зашифрованный том , установите для параметра shared также значение true .

Шаг 3. Создайте требование постоянного тома
  вид: PersistentVolumeClaim
apiVersion: v1
метаданные:
  имя: mysql-data
  аннотации:
    px / секрет-имя: mysecret
    объем.beta.kubernetes.io/storage-class: px-secure-sc
спецификация:
  storageClassName: px-mysql-sc
  accessModes:
    - ReadWriteOnce
  Ресурсы:
    Запросы:
      память: 2Gi  

Обратите внимание на аннотацию px / secret-name: mysecret . Эта аннотация указывает, что Portworx использует секрет mysecret для шифрования тома. В этом случае НЕ создаст новую парольную фразу для этого тома и НЕ будет использовать шифрование для каждого тома. Если аннотация не предоставлена, Portworx будет использовать рабочий процесс шифрования тома, как описано в предыдущем разделе

.

Один именованный секрет можно использовать для шифрования нескольких томов.

Опять же, если для вашего класса хранения не установлен флаг secure , но вы хотите зашифровать PVC с использованием того же класса Storage, добавьте аннотацию px / secure: "true" к указанному выше PVC.

Если вы хотите перенести зашифрованные тома, созданные с помощью этого метода, между двумя разными кластерами Portworx:
  1. Создайте секрет с тем же именем (–secret_id) с помощью Portworx CLI
  2. Убедитесь, что вы ввели ту же парольную фразу при генерации секрета.

Шифрование

с использованием PVC

Примечание:
Поддерживается начиная с PX Enterprise 1.4

Шифрование на уровне класса хранилища не позволяет использовать разные секретные ключи для разных PVC. Он также не позволяет отключить шифрование для определенных PVC, использующих тот же класс защищенного хранилища. Шифрование на уровне PVC будет иметь приоритет над параметрами шифрования из Storage Class.

Шифрование на уровне PVC достигается с помощью следующих аннотаций PVC:

  • px / secure — логическое значение, указывающее, нужно ли защищать PVC или нет
  • px / secret-name — имя секрета, используемого для шифрования
  • px / secret-namespace — Пространство имен секрета (только Kubernetes Secrets)
  • px / secret-key — Ключ, который будет использоваться в секрете (только Kubernetes Secrets)

Шифрование с использованием общего секрета кластера

Шаг 1 : Создать секретный ключ для всего кластера

Секретный ключ для всего кластера — это общий ключ, указывающий на секретное значение / парольную фразу, которая может использоваться для шифрования всех ваших томов.

Создайте общий секрет кластера в Kubernetes, если он еще не создан:

  $ kubectl -n portworx create secret generic px-vol-encryption \
  --from-literal = секретный-ключ всего кластера = <значение>
  

Обратите внимание, что секрет всего кластера должен находиться в секрете px-vol-encryption в пространстве имен portworx .

Теперь вы должны предоставить Portworx секретный ключ кластера, который действует как ключ шифрования по умолчанию для всех томов.

  $ PX_POD = $ (kubectl get pods -l name = portworx -n kube-system -o jsonpath = '{. Items [0] .metadata.name}')
$ kubectl exec $ PX_POD -n kube-system - / opt / pwx / bin / pxctl секреты set-cluster-key \
  --secret общекластерный секретный ключ
  
Шаг 2: Создайте безопасный PVC

Если для вашего класса хранения не установлен флаг secure , но вы хотите зашифровать PVC, используя тот же класс хранения, тогда создайте PVC, как показано ниже:

  kind : PersistentVolumeClaim
apiVersion: v1
метаданные:
  имя: secure-pvc
  аннотации:
    px / secure: "правда"
спецификация:
  storageClassName: portworx-sc
  accessModes:
  - ReadWriteOnce
  Ресурсы:
    Запросы:
      хранилище: 2Gi
  

Поскольку не указана аннотация px / secret-name , Portworx по умолчанию будет использовать общий секрет кластера для шифрования этого PVC.Если общий секрет кластера не установлен, создание тома не удастся, пока ключ не будет установлен.

Подобно приведенному выше примеру, если вы хотите использовать класс хранилища с набором параметров secure , но не хотите шифровать определенный PVC, установите для аннотации px / secure значение false .

Примечание: Если вы используете версию Kubernetes старше 1.9.4 (или <1.8.9 в Kubernetes 1.8), тогда имя PVC должно быть в нс. -name.Формат для использования функции шифрования на уровне PVC.

Шифрование с использованием специального секретного ключа

Секреты Kubernetes

Вы можете зашифровать свой PVC с помощью специального секрета следующим образом:

  kind: PersistentVolumeClaim
apiVersion: v1
метаданные:
  имя: secure-mysql-pvc
  аннотации:
    px / имя-секрета: секреты-тома
    px / secret-namespace: portworx
    px / секретный ключ: mysql-pvc
спецификация:
  storageClassName: portworx-sc
  accessModes:
  - ReadWriteOnce
  Ресурсы:
    Запросы:
      хранилище: 2Gi
  

Зашифрованный PVC будет использовать ключ mysql-pvc под Kubernetes secret volume-secrets в пространстве имен portworx .Если секретный ключ отсутствует, создание тома не удастся, пока ключ не будет создан.

Из аннотаций в приведенном выше PVC, только пикселей / secret-name является обязательным.

  • Если вы не укажете пикселей / secret-namespace , Portworx будет искать секрет в пространстве имен PVC.
  • Если вы не укажете пикселей / секретный ключ , Portworx будет искать ключ с именем PVC.
(Необязательно) Другое пространство имен для хранения секретных ключей

По умолчанию Portworx имеет разрешения на чтение секретов в пространстве имен portworx .Если ваши секреты хранятся в каком-то другом пространстве имен, вам необходимо предоставить Portworx разрешения на чтение секретов. Чтобы предоставить Portworx разрешение на чтение vol-secrets secret в пространстве имен example , выполните следующие действия:

  cat << EOF | kubectl apply -f -
# Роль для доступа к секрету 'vol-secrets' в пространстве имен 'example'
kind: Роль
apiVersion: rbac.authorization.k8s.io/v1
метаданные:
  имя: px-vol-enc-роль
  пространство имен: пример
правила:
- apiGroups: [""]
  глаголы: ["получить"]
  ресурсы: ["секреты"]
  resourceNames: ["секреты секретов"]
---
# Разрешить сервисной учетной записи portworx доступ к секрету
вид: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
метаданные:
  имя: px-vol-enc-role-binding
  пространство имен: пример
предметы:
- вид: ServiceAccount
  имя: px-account
  пространство имен: kube-system
roleRef:
  kind: Роль
  имя: px-vol-enc-роль
  apiGroup: rbac.authorization.k8s.io
EOF
  

StorageOS - шифрование Kubernetes в состоянии покоя

Обзор

С ростом рыночного использования Kubernetes в качестве облачной управляемой службы и строгих правил соблюдения данных, включая Стандарт индустрии платежных карт (PCI DSS) и Закон о переносимости и подотчетности медицинского страхования (HIPPA), организации зависят от зашифрованных данных в качестве требования. для рабочих нагрузок Kubernetes с использованием постоянного хранилища.

Чтобы удовлетворить эти требования, StorageOS дополнительно улучшила свое ядро. для AES-256 с шифрованием AES-XTS.

StorageOS , лидер на рынке облачных постоянных хранилищ, предоставляет собственный интерфейс CSI Kubernetes, обеспечивая высокую производительность, доступность данных и расширенные функции хранения, которые раньше были доступны только в аппаратных массивах хранения корпоративного класса.

В следующем примере демонстрируется использование шифрования в состоянии покоя в Kubernetes с StorageOS -

.

1. Установка и настройка

Для этой установки у нас есть стандартный кластер Kubernetes, в котором StorageOS установлена ​​в процессе однократной установки

 $  kubectl получить узлы 
ИМЯ СТАТУС РОЛИ ВОЗРАСТНАЯ ВЕРСИЯ
storageos-k8s1 Готовая панель управления, etcd, worker 6d22h v1.17,17
Storageos-k8s2 Готовая панель управления, etcd, worker 6d22h v1.17.17
Storageos-k8s3 Готовая панель управления, etcd, worker 6d22h v1.17.17 

2. Настройка зашифрованного и незашифрованного тома

Мы настраиваем как зашифрованный, так и незашифрованный том, чтобы показать различия в конфигурации и то, как данные в состоянии покоя применяются к хранилищу в инфраструктуре Kubernetes -

 Создание зашифрованного и незашифрованного PVC / PV  -  kubectl apply -f- << EOF 
 API  Версия: v1 
  вид: PersistentVolumeClaim 
  метаданные: 
  имя: зашифровано 
  этикеток: 
    хранилища.ru / encryption: "true" 
  спецификация: 
  storageClassName: быстрый 
  режим доступа: 
  - ReadWriteOnce 
  ресурсов: 
  запросов: 
  память: 1Gi 
  --- 
 API  Версия: v1 
  вид: PersistentVolumeClaim 
  метаданные: 
  имя: незашифрованное 
  спецификация: 
  storageClassName: быстрый 
  режим доступа: 
  - ReadWriteOnce 
  ресурсов: 
  запросов: 
  память: 1Gi 
  EOF 
persistentvolumeclaim / encrypted created
persistentvolumeclaim / unencrypted created 

StorageOS упрощает настройку зашифрованных томов с помощью одного изменения, необходимого для стандартного рабочего процесса.Использование метки шифрования, как показано выше при настройке первого утверждения постоянного тома (PVC).

Это простое изменение обеспечивает зашифрованный том вместе со связанными ключами шифрования, необходимыми для шифрования при использовании StorageOS.

3. Просмотр ключей шифрования

Просмотр томов с помощью kubectl description показывает, что зашифрованный том имеет дополнительные аннотации, относящиеся к ключам шифрования, используемым для шифрования в состоянии покоя -

 🔍  Отображение аннотации PVC - зашифровано  -  kubectl description pvc / encrypted 
Имя: зашифровано
Пространство имен: по умолчанию
StorageClass: быстро
Статус: Связано
Объем: pvc-3fd15067-992e-4d93-b816-f686546025d1
Этикетки: складские.com / encryption = true
Аннотации: pv.kubernetes.io/bind-completed: да
               pv.kubernetes.io/bound-by-controller: да
  storageos.com/encryption-secret-name: storageos-volume-key-2af02d26-4913-4a66-9f4a-0aae9589d8d4 
  storageos.com/encryption-secret-namespace: по умолчанию 
               storageos.com/storageclass: 40579749-5ae8-44ae-8ae2-55a3858d4e15
               volume.beta.kubernetes.io/storage-provisioner: csi.storageos.com

Соответственно, Kubernetes Secret можно просмотреть для доступа к данным ключа шифрования, специфичным для этого тома - 
 🔍  Отображение секрета ключа шифрования для зашифрованного PVC - kubectl get secret storage-volume-key-2af02d26-4913-4a66-9f4a-
0aae9589d8d4  -  или ямл 
apiVersion: v1
данные:
  hmac: 9jqbnLGA9SfG + AhXzgZ9e49d + VrfJa3ki9C8eZOhubA = 
  iv: JS0Cq1 + 0C / nnkL7plErbsZx8BHo28ies48sURXm4vAo = 
 Ключ : 8GkpcbBMQFAGdR4HeiYVsYa86NzFy56xLo / GgObIblt9ryZCGNRMulNv03 + ckJP + tEGBEi1Qh2Dd6rokQhoYWw == 
  vuk: XYZ2qitwuEFhaJPLTl3u9KSmsljNOod0 + VO4FiLlWlzSuoFj1blZJOAZ27lhXz8x9PncX // 5dJE3JkiO9VThSloSwh22uYWeKsCBlNbyXZ0 = 
вид: Секрет
метаданные:
creationTimestamp: "2021-04-30T10: 03: 35Z"
ярлыки:
  приложение.kubernetes.io/component: storageos-api-manager
  app.kubernetes.io/managed-by: хранилище-оператор
  app.kubernetes.io/name: хранилища
  app.kubernetes.io/part-of: хранилища
  storageos.com/pvc: зашифровано
 имя: storageos-volume-key-2af02d26-4913-4a66-9f4a-0aae9589d8d4
 пространство имен: по умолчанию
 resourceVersion: "15729433"
 selfLink: / api / v1 / namespaces / default / secrets / storageos-volume-key-2af02d26-4913-4a66-9f4a-0aae9589d8d4
 uid: 4ae921d4-1823-4b79-9261-ca1e075fa3b0
тип: Непрозрачный 

При использовании шифрования с StorageOS ключи шифрования и дешифрования полностью находятся под контролем и управлением потребителя.Использование собственной конструкции Kubernetes для управления секретом ключей обеспечивает преимущества встроенной интеграции Kubernetes с поставщиками KMS , такими как HashiCorp Vault , что обеспечивает дополнительное соответствие и регулирование по желанию.

Доступ к ключу шифрования, управление и доступность - это отличительная черта между StorageOS и другими услугами постоянного хранения, предлагаемыми поставщиками облачных услуг, поскольку каждый том имеет свой индивидуальный ключ, находясь при этом под полным контролем конечного пользователя.

4. Демонстрация шифрования в состоянии покоя с помощью «Великого Гэтсби»

Чтобы в полной мере оценить шифрование Kubernetes в состоянии покоя и возможности, предоставляемые StorageOS, мы используем знаменитую книгу Ф. Скотта Фитджеральда , « The Great Gatsby », текст, который считается воссозданным литературным шедевром. как голливудский фильм.

Образ контейнера spurin / gatby: последний , доступный на DockerHub (источник доступен через GitHub ), выполняет задачу загрузки текста книги в / data / gatsby.txt при инициализации.

Чтобы продемонстрировать шифрование в состоянии покоя в Kubernetes, мы используем два StatefulSet, незашифрованный и зашифрованный, каждый из которых использует образ spurin / gatsby: latest с постоянным объемом данных, установленным как / data. При запуске контейнера текст Великого Гэтсби будет сохранен на постоянных томах StorageOS.

 Создание незашифрованного и зашифрованного StatefulSet  -  kubectl apply -f- << EOF 
  apiVersion: apps / v1 
  вид: StatefulSet 
  метаданные: 
    имя: незашифрованное 
  спецификация: 
  селектор: 
  matchLabels: 
 Приложение : незашифрованное 
  serviceName: незашифрованный 
  реплики: 1 
  шаблон: 
  метаданные: 
  этикеток: 
 Приложение : незашифрованное 
  спецификация: 
  тома: 
  - имя: незашифрованное 
  постоянный
  имя: незашифрованное 
  контейнеров: 
  - имя: незашифрованное 
    изображение: spurin / gatsby: последняя версия 
  imagePullPolicy: Всегда 
 Объем  Кол-во мест: 
  - mountPath: "/ data" 
  имя: незашифрованное 
  --- 
  apiVersion: apps / v1 
  вид: StatefulSet 
  метаданные: 
    имя: зашифровано 
  спецификация: 
  селектор: 
  matchLabels: 
 Приложение : зашифровано 
  serviceName: зашифрованный 
  реплики: 1 
  шаблон: 
  метаданные: 
  этикеток: 
 Приложение : зашифровано 
  спецификация: 
  тома: 
  - имя: зашифровано 
  постоянный
  имя: зашифровано 
  контейнеров: 
  - имя: зашифровано 
    изображение: spurin / gatsby: последняя версия 
  imagePullPolicy: Всегда 
 Объем  Кол-во мест: 
  - mountPath: "/ data" 
  имя: зашифровано 
  --- 
  EOF 
Statefulset.приложения / незашифрованные созданы
statefulset.apps / encrypted created 

5. Проверка данных

С точки зрения потребления Kubernetes использование Encryption at Rest прозрачно и может быть визуализировано путем выполнения команд на незашифрованных и зашифрованных модулях -

 🔍  Проверка Gatsby MD5 UnEncrypted  -  kubectl exec -it unencrypted-0 - md5sum /data/gatsby.txt 
c71f692044dbb4d89df2444ce8cccb35 /data/gatsby.txt

🔍  Проверка Gatsby MD5 Encrypted  -  kubectl exec -it encrypted-0 - md5sum / data / gatsby.txt 
c71f692044dbb4d89df2444ce8cccb35 /data/gatsby.txt

🔍  Проверка незашифрованного текста Gatsby  -  kubectl exec -it unencrypted-0 - grep -B1 'put together' /data/gatsby.txt 
«Это гнилая толпа!» - крикнул я через лужайку. "Ты стоишь
вся эта чертова куча вместе взятые ".

🔍  Проверка зашифрованного текста Gatsby  -  kubectl exec -it encrypted-0 - grep -B1 'put together' /data/gatsby.txt 
«Это гнилая толпа!» - крикнул я через лужайку."Ты стоишь
вся эта чертова куча вместе взятые. "

В обоих случаях они возвращают одну и ту же контрольную сумму для данных (c71f692044dbb4d89df2444ce8cccb35), они оба соответствуют известной цитате из книги.

Чтобы по-настоящему увидеть преимущества шифрования в состоянии покоя, нам нужно заглянуть за кулисы. Для этого нам потребуется доступ к рабочим узлам Kubernetes, на которых работает StorageOS.

6. Данные в состоянии покоя на узлах Kubernetes

В этом примере наши незашифрованные данные находятся на storageos-k8s2 в / var / lib / storageos / data / dev1 / vol.201427. *. Blob (с этими файлами, относящимися к файловой системе unencrypted / data). Если мы проверим тот же текст из книги с помощью команды unix strings, мы сможем увидеть следующее с точки зрения данных в состоянии покоя -

  [адрес электронной почты защищен]: ~ #   строки /var/lib/storageos/data/dev1/vol.201427.*.blob | grep -B1 -m 1 "собрать" 
«Это гнилая толпа!» - крикнул я через лужайку. "Ты стоишь
вся эта чертова куча вместе взятые. "

Получив доступ к рабочему узлу Kubernetes, мы работаем на уровне инфраструктуры.То, что может считаться конфиденциальной информацией, одновременно хранится и легко доступно для тех, кто имеет доступ к базовым компонентам. В случае прекращения работы узла Kubernetes или повторного использования инфраструктуры без должной осмотрительности существует риск утечки данных .

Если бы мы должны были выполнить ту же команду на томе с шифрованием в состоянии покоя (который находится в / var / lib / storageos / data / dev1 / vol. 32831. *. Blob), эквивалентные данные будут недоступны, таким образом защищая от данных утечка -

  [электронная почта защищена]: ~ #   строки / var / lib / storageos / data / dev1 / vol.Y
fdPG
: N] j
Q & Zn
0v /]
СнЮ
Hg} 

Заключение

Для многих организаций шифрование данных является барьером, препятствующим как использованию Kubernetes, так и / или внедрению облака для приложений с отслеживанием состояния. StorageOS решает проблему как зашифрованных данных, так и с хранением с отслеживанием состояния. Если вы хотите попробовать StorageOS с шифрованием, вы можете протестировать его с нашей StorageOS Forever Free Developer Edition, предоставив 5 ТБ для ознакомительных целей.

Использование поддержки поставщика шифрования EKS для глубокой защиты

Гюхо Ли, Рашми Дварака и Майкл Хаузенблас

Когда мы объявили, что планируем изначально поддерживать AWS Encryption Provider в Amazon EKS, отзывы, которые мы получили от вас, были довольно четкими: можем ли мы получить его вчера? Теперь мы запускаем поддержку EKS для поставщика шифрования, что является жизненно важной функцией обеспечения комплексной безопасности. То есть теперь вы можете использовать шифрование конверта секретов Kubernetes в EKS с вашим собственным мастер-ключом.В этом посте мы объясним предысторию и расскажем, как начать работу.

Фон

Secrets в Kubernetes позволяют вам управлять конфиденциальной информацией, такой как пароли или ключи API, нативным для Kubernetes способом. Когда вы создаете секретный ресурс, например, используя kubectl create secret , сервер API Kubernetes сохраняет его в etcd в кодировке base64. В EKS мы работаем с томами etcd , зашифрованными на уровне дисков с помощью ключей шифрования, управляемых AWS.

Шифрование конверта означает шифрование ключа другим ключом. Зачем тебе это нужно? Мотивация - это лучшая практика безопасности для приложений, которые хранят конфиденциальные данные, и часть стратегии безопасности углубленной защиты . Таким образом, у вас будет (более долгосрочный) главный ключ, хранящийся в AWS KMS, который затем будет использоваться для генерации ключей данных на сервере Kubernetes API, который, в свою очередь, будет использоваться для шифрования / дешифрования конфиденциальных данных, хранящихся в секретах Kubernetes.

До сих пор у вас не было собственного способа использовать свои собственные главные ключи с EKS для шифрования конвертов.С этим запуском вы можете сгенерировать ключи, используемые для шифрования секретов, хранящихся в кластере EKS, с помощью AWS KMS. В качестве альтернативы вы можете импортировать ключи, сгенерированные из другой системы, например из вашего локального решения, в KMS и использовать их в кластере EKS без необходимости установки или использования дополнительного программного обеспечения.

Как это работает?

При создании кластера EKS вы можете включить поддержку поставщика шифрования, установив «KMS Key ARN», через интерфейс командной строки AWS, консоль или используя eksctl , который поддерживает установку ключа ARN через файл конфигурации.

После настройки, когда один из ваших разработчиков создает секрет Kubernetes, поставщик шифрования автоматически шифрует секрет с помощью ключа шифрования данных, созданного Kubernetes, который затем шифруется с использованием предоставленного главного ключа KMS.

Прежде чем мы углубимся в подробности, давайте быстро перейдем к той же странице, касающейся двух основных терминов, используемых в следующем:

  1. CMK - это главный ключ клиента. Думайте об этом как о ключах от королевства; вы используете его для шифрования и дешифрования ключей, которые затем фактически используются для защиты вашей конфиденциальной информации, что приводит нас к…
  2. DEK , что является сокращением от ключа шифрования данных и используется для каждого секрета для шифрования и дешифрования данных.

Прояснив это, давайте посмотрим, как на высоком уровне EKS поддерживает поставщика шифрования и как пути записи и чтения для секретов Kubernetes с этой включенной функцией выглядят так:

Подробное описание шагов:

  1. Все начинается с того, что пользователь (обычно с ролью администратора) создает секрет, например, используя kubectl или стиль GitOps.
  2. Сервер API Kubernetes в плоскости управления генерирует DEK локально и использует его для шифрования полезной нагрузки открытого текста в секрете.Обратите внимание, что мы генерируем уникальный DEK для каждой отдельной записи, а также что открытый текстовый DEK никогда не сохраняется на диск.
  3. Сервер API Kubernetes вызывает kms: Encrypt , чтобы зашифровать DEK с помощью CMK. Этот ключ является корнем иерархии ключей, и в случае KMS он создает CMK на аппаратных модулях безопасности (HSM). На этом этапе сервер API использует CMK для шифрования DEK, а также кэширует base64 зашифрованного DEK.
  4. Наконец, для пути записи сервер API хранит зашифрованный DEK секрет в etcd .
  5. Если теперь кто-то хочет использовать секрет, скажем, в модуле через том ( путь чтения ), происходит обратный процесс, то есть сервер API считывает зашифрованный секрет из etcd и расшифровывает секрет с помощью DEK.
  6. Приложение, работающее в модуле на EC2 или Fargate, может в этот момент использовать секрет как обычно.

Обратите внимание, что поддержка EKS для поставщика шифрования доступна для кластеров с Kubernetes версии 1.13 (версия платформы экс.8) и 1.14 (экс.9). Никаких изменений в способе использования секретов не требуется, все, что необходимо, - это включить поддержку поставщика шифрования при создании кластера.

Разобравшись с этими основами, давайте посмотрим, как это выглядит на практике.

Прохождение

Во-первых, вам понадобится ключ KMS в том же регионе, что и ваш кластер, чтобы использовать его для шифрования. Если у вас еще нет ключа KMS, вы можете создать ключ и псевдоним с помощью интерфейса командной строки AWS следующим образом:

  $ MASTER_KEY_ARN = $ (aws kms create-key --query KeyMetadata.Arn - текст вывода)
$ aws kms создать псевдоним \
      --alias-name псевдоним / k8s-master-key \
      --target-key-id $ (echo $ MASTER_KEY_ARN | cut -d "/" -f 2)  

Теперь мы создадим кластер EKS 1.14 через консоль AWS. Единственное, что заслуживает вашего внимания, - это включить шифрование секретов - прямо под настройками сети - и помните, что на текущем этапе вы можете установить это только во время создания кластера (то есть не поддерживается через обновления конфигурации кластера. ):

Теперь добавьте группу управляемых узлов или определите профиль Fargate для бессерверной плоскости данных.

Затем мы обновляем наш локальный файл конфигурации Kubernetes, делая кластер доступным из командной строки:

  $ aws eks update-kubeconfig - имя ekseprovidercon
Добавлен новый контекст arn: aws: eks: us-west-2: 123456789012: cluster / ekseprovidercon в /Users/example/.kube/config
  

И теперь мы готовы использовать секреты с шифрованием конвертов. Например, давайте создадим секрет под названием test-creds в пространстве имен encprovtest , а затем используем его.

Сначала мы подготавливаем секретное значение и целевое пространство имен:

  $ echo -n "Я в безопасности?" > ./test-creds
$ cat ./test-creds
я в безопасности?

$ kubectl создать ns encprovtest  

Имея значение секрета и пространство имен, перейдем к нему:

  $ kubectl создать секрет \
          общие test-creds \
          --from-file = test-creds =. / test-creds \
          --namespace encprovtest
секретные / тестовые кредиты созданы  

В этот момент секрет попал в etcd, зашифрованный с помощью DEK.

Разработчик может использовать указанный секрет, например, с помощью крепления тома в модуле. В демонстрационных целях мы пытаемся прочитать его через интерфейс командной строки, например:

  $ kubectl получить секретные тестовые кредиты \
  -o jsonpath = "{. data.test-creds}" \
  --namespace encprovtest | \
  base64 —decode
я в безопасности?  

Ура, хорошо сработало! Но как мы узнаем, что секрет на самом деле был зашифрован, когда мы его создали, и теперь расшифровывается, когда мы его читаем? Что ж, давайте посмотрим, что произошло с помощью AWS CloudTrail.Если вы выполните поиск события Decrypt , вы увидите что-то вроде этого:

Хорошо, это сработало, как и ожидалось, теперь давайте воспользуемся секретом из модуля. А чтобы было интересно, мы будем использовать EKS на Fargate, нашем бессерверном предложении.

Во-первых, вы хотите убедиться, что у вас настроен профиль Fargate. Мы используем профиль Fargate, который поддерживает поды, запущенные в пространстве имен Kubernetes serverless , поэтому убедитесь, что ваш вывод выглядит примерно так:

  $ aws eks description-fargate-profile \
      - имя кластера envencdemo
      --fargate-имя-профиля fgp0
{
    "fargateProfile": {
        "fargateProfileName": "fgp0",
        "fargateProfileArn": "arn: aws: eks: us-west-2: 123456789012: fargateprofile / envencdemo / fgp0 / b4b84077-0074-34d0-eaab-a5e81c043ebb",
        "clusterName": "envencdemo",
        createdAt: 1582711047.622, г.
        "podExecutionRoleArn": "arn: aws: iam :: 123456789012: роль / fg-cluster-FargatePodExecutionRole-T0V7YEE2PZCM",
        "подсети": [
            "подсеть-05286e168dbafbdc6"
        ],
        "селекторы": [
            {
                "пространство имен": "без сервера",
                "ярлыки": {}
            }
        ],
        "status": "АКТИВНО",
        "теги": {}
    }
}  

Затем мы создаем пространство имен Kubernetes, целевую среду, которую подбирает профиль Fargate:

  kubectl create ns serverless
  

И теперь мы можем создать секрет в указанном пространстве имен:

  kubectl - пространство имен serverless \
        создать секретные общие тестовые кредиты \
        --from-file = test-creds =./ test-creds  

Мы хотим использовать секрет в модуле под названием consumersecret со следующим манифестом:

API
  Версия: v1
вид: Стручок
метаданные:
  имя: consumersecret
спецификация:
  контейнеры:
  - имя: оболочка
    изображение: amazonlinux: 2018.03
    команда:
      - «bin / bash»
      - «-c»
      - «cat / tmp / test-creds && sleep 10000»
    объем
      - название: сек
        mountPath: "/ tmp"
        readOnly: правда
  объемы:
  - название: сек
    секрет:
      secretName: test-creds  

Хорошо, у нас все на месте, давайте запустим модуль:

  kubectl - пространство имен serverless \
        применить -f podconsumingsecret.ямл  

Если все прошло успешно, мы сможем увидеть, что видят поды, и это значит, что секрет доступен в / tmp / test-creds в файловой системе контейнера:

  $ kubectl --namespace serverless exec -it consumersecret - cat / tmp / test-creds
я в безопасности?  

Отлично! Теперь, когда у нас есть понимание, как использовать секреты с включенным шифрованием конверта в кластере EKS, давайте более подробно рассмотрим основной проект с открытым исходным кодом и затраты на его использование.

Вклад и использование

В EKS мы используем AWS Encryption Provider с открытым исходным кодом, чтобы предоставить вам шифрование конверта для секретов с помощью KMS. Этот проект поддерживается сообществом Kubernetes и частью организации Kubernetes SIGs. Поставщик шифрования AWS должен работать на плоскости управления Kubernetes, конфигурация, которая ранее была возможна для самоуправляемых кластеров Kubernetes на AWS, но не для кластеров EKS. Мы полностью поддерживаем поставщика шифрования для кластеров EKS и продолжим инвестировать в улучшение и поддержку проекта с открытым исходным кодом вместе с сопровождающими проектами во главе с инженерами EKS.

Что касается затрат, вы платите 1 доллар в месяц за хранение любого ключа, который вы создаете или импортируете в KMS. KMS взимает плату за запросы шифрования и дешифрования с уровнем бесплатного пользования из 20 000 запросов в месяц для каждой учетной записи, и вы платите 0,03 доллара США за 10 000 запросов сверх уровня бесплатного пользования в месяц; Однако обратите внимание, что из-за встроенных возможностей кэширования AWS Encryption Provider не каждая операция чтения вызывает фактический запрос к KMS, что снижает общий счет. Это относится ко всему использованию KMS для учетной записи, поэтому на стоимость использования KMS в вашем кластере может повлиять использование KMS в другом кластере или ресурсы AWS в вашей учетной записи.

Сообщите нам, что вы думаете об этой новой захватывающей функции безопасности и о том, как вы планируете ее использовать, а также рассмотрите возможность участия в проекте с открытым исходным кодом kubernetes-sigs / aws-encryption-provider.

Гюхо Ли

Гюхо - SDE в команде EKS, активно участвует в Kubernetes и других проектах OSS.

Рашми Дварака

Рашми - SDE в команде EKS, занимающийся управлением кластерами EKS.

74,2. Полный список автономных команд

74.2. Полный список автономных команд

74.2. Полный список автономных команд

Вот полный список команд, предлагаемых автономным интерпретатор команд конфигуратора для входа в систему SUPERUSER.

 [16:35:06] ABILIS_CPX: ??

Список команд, разрешенных для входа в SUPERUSER:

Добавить операции:
CRKEY: идентификатор ключа шифрования / дешифрования [1..63]
Запись CF CF / DND (переадресация вызовов / режим "Не беспокоить")
Пакет каналов CTIB CTI
Кластер CTICL CTI
Пользователи и услуги CTIDISA CTI DISA
Группа CTIG CTI
CTIh423 CTI H.323 Перевод статьи
Запись в таблице номеров CTIIAX CTIIAX
Ссылка CTIL CTI
Группа ссылок CTILG CTI
Постоянное соединение CTIPC CTI
Маршрутизация CTIR CTI
Маршрутизация CTIRE CTI
Маршрутизация CTIRR CTI
Запись в таблице номеров CTISIP CTISIP
Маршрутизация SMS-сообщений CTISMS CTI для входящих / исходящих сообщений
A DEV: идентификатор устройства HW 'type-n', где 'n' может быть [1..255]
Профиль DHCP DHCP / подсеть / хост
DNS-сервер DNS и таблицы ретрансляции
Пути виртуального корня FTP FTP / права доступа
ГРУППА: Название группы. Максимум. 32 символа ASCII.
HTTP HTTP виртуальные корневые пути / права доступа пути
IKE IKE Host / Client подключения и таблицы предварительных ключей
Список IP-доступа IPACL
Административное расстояние IP-маршрутизации IPAD
Запись балансировки нагрузки IP IPLB
Сохраненная статическая IP-маршрутизация IPRS (то же самое, что и SIPR)
Таблицы политик безопасности и ассоциаций IPSEC IPSEC.
Маршрутизация источника IP IPSR
Группа обслуживания последнего вызывающего номера LCSG
СПИСОК: имя списка CPX
Запись псевдонима NAT NAT
OSPF OSPF area / range / neigh / host / external route
Соединение PVC PVC
Маршрутизация A R SVC
RES: идентификатор ресурса 'type-n', где 'n' может быть [1..999]
Внешний маршрут RIP RIP
Сохраненная статическая IP-маршрутизация SIPR (то же самое, что и IPRS)
ПОЛЬЗОВАТЕЛЬ: Имя пользователя. Максимум. 32 символа ASCII.
Маршрутизаторы VRRP VRRP
Маршрутизация моста WGB WG

Загрузочные операции:
BOOT DEV: идентификатор устройства HW 'type-n', где 'n' может быть [1..255]

Очистить операции:
C CF CF / DND (переадресация вызовов / режим "не беспокоить")
C CRKEY: идентификатор ключа шифрования / дешифрования [1..63]
C CTIB CTI-каналы
C CTICL Кластер CTI
C CTIDISA CTI DISA Пользователи и услуги
C CTIG CTI группа
C CTIh423 CTI H.323 Запись перевода
C CTIIAX Запись в таблице номеров CTIIAX
C CTIL CTI ссылка
C CTILG CTI группа ссылок
C CTIPC CTI постоянное соединение
C CTIR CTI маршрутизация
C CTIRE CTI маршрутизация
C CTIRR CTI маршрутизация
C CTISIP Запись в таблице номеров CTISIP
C CTISMS CTI SMS-маршрутизация для входящих / исходящих сообщений
C DEV: идентификатор аппаратного устройства 'type-n', где 'n' может быть [1..255]
C DHCP Профиль DHCP / подсеть / хост
C DNS DNS-сервер и таблицы ретрансляции
C FTP FTP Виртуальные корневые пути / права доступа к пути
ГРУППА C: запись группы
C HTTP HTTP Пути виртуального корня / права доступа к пути
C IKE IKE Хост / клиентские соединения и таблицы предварительных ключей
C Список IP-доступа IPACL
C IPAD IP-маршрутизация Административное расстояние
C Запись балансировки нагрузки IP IPLB
C Сохраненная статическая IP-маршрутизация IPRS (то же самое, что и SIPR)
C IPSEC IPSEC Политики безопасности и таблицы ассоциаций
C IPSR Маршрутизация от источника IP
C L Системный журнал
C Группа обслуживания последнего вызывающего номера LCSG
Журнал исключений C LE
C LIST: имя списка CPX
C NAT псевдоним NAT
C OSPF OSPF area / range / neigh / host / external route
C PVC PVC Соединение
C R Маршрутизация SVC
C RES: идентификатор ресурса 'type-n', где 'n' может быть [1..999]
C RIP RIP внешний маршрут
C Сохраненная статическая IP-маршрутизация SIPR (то же самое, что и IPRS)
C ПОЛЬЗОВАТЕЛЬ: ввод пользователя
C VRRP Маршрутизаторы VRRP
C WGB WG Маршрутизация моста

ЗАКРЫТЬ Выйти из программы.

Управление конфигурацией:
CONF INFO Отображение / установка примечаний к конфигурации
CONF RELOAD Перезагрузить конфигурацию из файла
CONF SAVE Псевдоним команды (команд) SAVE CONF
CONF VALIDATE Псевдоним команды VALIDATE

Отображение операций:
D ACT Активное аппаратное устройство / ресурс / порт CTI
D CF CF / DND (переадресация вызова / режим "не беспокоить")
КОД D ISDN / X.25 кодов описания
D CRKEY Ключи шифрования / дешифрования
D CRKEY: идентификатор ключа шифрования / дешифрования [1..63]
Пакет D CTIB CTI каналов
Кластер D CTICL CTI
D CTIDISA CTI DISA Пользователи и услуги
Группа D CTIG CTI
D CTIh423 CTI H.323 Запись перевода
D Запись в таблице номеров CTIIAX CTIIAX
Ссылка D CTIL CTI
D CTILG CTI группа ссылок
D CTIP CTI порт
D CTIP: идентификатор порта CTI [1..300]
D CTIPC CTI постоянное соединение
D CTIPE CTI порт в расширенном формате
D CTIPE: идентификатор порта CTI [1..300]
D CTIR CTI маршрутизация
D CTIRE CTI-маршрутизация в расширенном формате
D CTIRR CTI-маршрутизация в сокращенном формате
D CTISIP Запись в таблице номеров CTISIP
D CTISMS CTI SMS-маршрутизация для входящих / исходящих сообщений
D DESCR Описание ресурса
D DEV Активные / неактивные аппаратные устройства
D DHCP Сводка DHCP / профили / подсети / хосты
D DNS DNS-сервер и таблицы ретрансляции
D FTP FTP Виртуальные корневые пути / права доступа к пути
D G Общие параметры системы
D Сводная таблица групп пользователей D GROUP
ГРУППА D: запись группы
D GROUPE Таблица групп пользователей - расширенный вид
D GROUPE: запись группы - расширенный вид
D HTTP HTTP Пути виртуального корня / права доступа к пути
D I Информация о системе и файлах
D IKE IKE Host / Client подключения и таблицы предварительных ключей
D INACT Неактивное аппаратное устройство / ресурс / порт CTI
D Список доступа IP IPACL
D IPACLE Список доступа IP в расширенном формате
D Административное расстояние IP-маршрутизации IPAD
D Запись балансировки нагрузки IP IPLB
D Сохраненная статическая IP-маршрутизация IPRS (то же самое, что и SIPR)
D IPSEC IPSEC Политики безопасности и таблицы ассоциаций
D Маршрутизация IP-источника IPSR
D ПУНКТ Элементы списка CPX
D LIST CPX списки
D LIST: имя списка CPX
D NAT псевдоним NAT
D OSPF OSPF область / диапазон / сосед / хост / внешний маршрут
D Сохраненная статическая IP-маршрутизация SIPR (то же самое, что и IPRS)
D L Системный журнал
D LCSG Последний вызывающий номер Сервисная группа
D Журнал отладки LDD на диске
D Журнал отладки LDDE на диске, расширенная визуализация
D Журнал исключений LE
D P Параметры ресурса
D PREF Preferences
Стек протоколов D PSTACK
D PVC PVC Соединение
D R Маршрутизация SVC
D RE SVC Маршрутизация в расширенном формате
D RIP RIP внешний маршрут
Дерево ресурсов D TREE
D Сводка таблицы управления доступом пользователей USER
D ПОЛЬЗОВАТЕЛЬ: запись пользователя.
D USERE Таблица контроля доступа пользователей - расширенный вид
D ПОЛЬЗОВАТЕЛЬ: ввод пользователя - расширенный вид
Версии системы и модулей D VER
D VRRP Маршрутизаторы VRRP
D WGB WG Маршрутизация моста

ВЫХОД Выйти из программы.Найдите операции:
F BRIDGE Bridge Поиск MAC
F CF Поиск CF / DND (переадресация вызова / режим "Не беспокоить")
F CTIDISA CTIDISA поиски
Поиск номеров F CTIIAX CTIIAX
F CTISIP Поиск номеров CTISIP
F DNS Поиск в DNS
F FTP FTP Виртуальные корневые пути / права доступа к пути
F HTTP HTTP Пути виртуального корня / права доступа к пути
F Список доступа IP IPACL
F LIST: имя списка CPX
F LISTE: имя списка CPX
F Сводка таблицы управления доступом пользователей USER
F ПОЛЬЗОВАТЕЛЬ: ввод пользователя.

ПОМОЩЬ Подробная справка по теме.Перечисляет операции:
LIST CLEAR Удалить все элементы из списка
СПИСОК СОЗДАТЬ Создать список
СПИСОК УДАЛИТЬ Удалить список
СПИСОК ОПИСАНИЕ Добавить / изменить описание списка
ОТОБРАЖЕНИЕ СПИСКА Отображение текущих настроенных списков
LIST EDITABLE Установить / сбросить редактируемый флаг списка
ПЕРЕИМЕНОВАНИЕ СПИСКА Изменение имени списка

ВХОД Операции входа в систему.

ВЫХОД Операции выхода из системы.

Операции перемещения:
M CF CF / DND (переадресация вызовов / режим "Не беспокоить")
M CTIR CTI маршрутизация
M CTIRE CTI маршрутизация
M CTIRR CTI маршрутизация
M CTISMS CTI SMS-маршрутизация для входящих / исходящих сообщений
M Список доступа IP IPACL
M NAT Запись псевдонима NAT
M R Маршрутизация SVC

ВЫЙТИ Выйти из программы.Сохранение операций:
SAVE CONF Текущая конфигурация

Установить операции:
S ACT Активное аппаратное устройство / ресурс / порт CTI
S CF CF / DND (переадресация вызова / режим "не беспокоить")
S CRKEY: идентификатор ключа шифрования / дешифрования [1..63]
Пакет S CTIB CTI каналов
S CTIDISA CTI DISA Пользователи и услуги
Кластер S CTICL CTI
Группа S CTIG CTI
S CTIh423 CTI H.323 Перевод статьи
S Запись в таблице номеров CTIIAX CTIIAX
Ссылка S CTIL CTI
Группа ссылок S CTILG CTI
S CTIP CTI порт
S CTIP: идентификатор порта CTI [1..300]
S CTIPC CTI постоянное соединение
Порт S CTIPE CTI
S CTIPE: идентификатор порта CTI [1..300]
Маршрутизация S CTIR CTI
Маршрутизация S CTIRE CTI
Маршрутизация S CTIRR CTI
S CTISIP Запись в таблице номеров CTISIP
S CTISMS CTI SMS-маршрутизация для входящих / исходящих сообщений
S DEV: идентификатор аппаратного устройства 'type-n', где 'n' может быть [1..255]
S DHCP Профиль DHCP / подсеть / хост
S DNS DNS-сервер и таблицы ретрансляции
S FTP FTP Виртуальные корневые пути / права доступа к путям
S G Общие параметры системы
ГРУППА S: запись группы
S GROUPE: групповая запись
S HTTP HTTP Пути виртуального корня / права доступа к пути
S IKE IKE Хост / клиентские соединения и таблицы предварительных ключей
S INACT Неактивное аппаратное устройство / ресурс / порт CTI
S Список доступа IP IPACL
S IPAD IP-маршрутизация Административное расстояние
S Запись IPLB IP Load Balancing
S IPRS Сохраненная статическая IP-маршрутизация (то же самое, что и SIPR)
S IPSEC IPSEC Политики безопасности и таблицы ассоциаций
S IPSR Маршрутизация от источника IP
S LCSG Последний вызывающий номер Сервисная группа
S NAT Запись псевдонима NAT
S OSPF OSPF area / range / neigh / host / external route
S P Параметры ресурсов
S PREF Предпочтения
S PVC PVC Соединение
S R Маршрутизация SVC
S RE SVC Маршрутизация
S RIP RIP внешний маршрут
S Сохраненная статическая IP-маршрутизация SIPR (то же самое, что и IPRS)
S ПОЛЬЗОВАТЕЛЬ: ввод пользователя
S USERE: ввод пользователя.
Маршрутизаторы S VRRP VRRP
Маршрутизация моста S WGB WG

СРОК Операции по настройке терминала.Отслеживание операций:
ДИСПЛЕЙ ТРАССИРОВКИ Операции по отображению трассы
TRACE PARAM Операции с параметрами трассировки

VALIDATE Проверка текущей конфигурации.

Обменивайтесь конфигурациями устройств HW и подтипами ресурсов:
X DEV: список идентификаторов аппаратных устройств, соединенных символом ','
X RES: идентификатор ресурса 'type-n', где 'n' может быть [1..999].

Комментарии:
# Команды, начинающиеся с этого символа, будут игнорироваться. 

encryption - Невозможно создать облачный зашифрованный PVC с KMS в GCP: googleapi: Ошибка 400: недопустимое использование ресурса

Я пытаюсь настроить CMEK в своем кластере в соответствии с указанными здесь деталями: https: // облако.google.com/kubernetes-engine/docs/how-to/dynamic-provisioning-cmek#dynamically_provision_an_encrypted

Я развернул CSI-драйвер постоянного диска Compute Engine в своем кластере в соответствии с шагами, указанными в: https://github.com/kubernetes-sigs/gcp-compute-persistent-disk-csi-driver/blob/master/docs/kubernetes/development.md

Затем я создал набор ключей / связку ключей и создал следующий класс хранения:

  apiВерсия: storage.k8s.io/v1
вид: StorageClass
метаданные:
  имя: csi-gce-pd
поставщик: pd.csi.storage.gke.io
параметры:
  тип: pd-standard
  disk-encryption-kms-key: "проекты / хх / локации / us-central1 / keyRings / xx / cryptoKeys / xx
  

Ниже YAML для PVC:

API
  Версия: v1
вид: PersistentVolumeClaim
метаданные:
  имя: encrypt-pvc
спецификация:
  accessModes:
    - ReadWriteOnce
  storageClassName: csi-gce-pd
  Ресурсы:
    Запросы:
      хранилище: 5Gi
  

Однако, когда я применяю PVC YAML, он терпит неудачу с ошибкой ниже, и статус PVC будет в ожидании:

  Название: encrypted-pvc
Пространство имен: gce-pd-csi-driver
Класс хранилища: csi-gce-pd
Статус: ожидание
Объем:
Ярлыки: <нет>
Аннотации: kubectl.kubernetes.io/last-applied-configuration:
                 {"apiVersion": "v1", "kind": "PersistentVolumeClaim", "metadata": {"annotations": {"volume.beta.kubernetes.io/storage-class":"csi-gce-pd"}, "нам ...
               volume.beta.kubernetes.io/storage-class: csi-gce-pd
               volume.beta.kubernetes.io/storage-provisioner: pd.csi.storage.gke.io
Финализаторы: [kubernetes.io/pvc-protection]
Вместимость:
Режимы доступа:
VolumeMode: файловая система
Установлено: <нет>
События:
  Тип Причина Возраст из сообщения
  ---- ------ ---- ---- -------
  Нормальная подготовка 4 с (x3 более 15 с) pd.csi.storage.gke.io_csi-gce-pd-controller-0_5c51fedd-8092-4c71-aca9-5a13b566bb8a Внешний провайдер предоставляет том для требования "gce-pd-csi-driver / encrypted-pvc"
  Обычный контроллер постоянного тома ExternalProvisioning 2 (x2 более 15 с), ожидающий создания тома, созданного либо внешним поставщиком «pd.csi.storage.gke.io», либо созданным вручную системным администратором.
  Предупреждение ProvisioningFailed 0 с (x3 более 11 с) pd.csi.storage.gke.io_csi-gce-pd-controller-0_5c51fedd-8092-4c71-aca9-5a13b566bb8a не удалось подготовить том с StorageClass "csi-gce-pd": ошибка rpc: code = Internal desc = CreateVolume не удалось создать один зональный диск "pvc -1524bf19-f6f1-11e9-a706-4201ac100007 ": не удалось вставить зональный диск: неизвестно Ошибка вставки диска: googleapi: Ошибка 400: недопустимое использование ресурса: 'Ошибка Cloud KMS при использовании ключевых проектов / acn-DevOpsgcp / locations / us-central1 / keyRings / testkeyring1 / cryptoKeys / testkey1: разрешение 'cloudkms.cryptoKeyVersions.useToEncrypt 'denied on resource' projects / acn-DevOpsgcp / locations / us-central1 / keyRings / testkeyring1 / cryptoKeys / testkey1 '(или он может не существовать).'., invalidResourceUsage

  

Я назначил следующие роли учетной записи службы, и идентификатор ресурса ключа KMS также верен. Шифрование / дешифратор Cloud KMS CryptoKey Cloud KMS CryptoKey Encrypter Облачное KMS CryptoKey Decrypter

Версия Kubectl:

  Версия клиента: version.Info {Major: "1", Minor: "16", GitVersion: "v1.16.2 ", GitCommit:" c97fe5036ef3df2967d086711e6c0c405941e14b ", GitTreeState:" clean ", BuildDate:" 2019-10-15T19: 18: 23Z ", GoVersion:" go1.12.10 ", компилятор:" gc ", платформа:" linux / amd64 " }
Версия сервера: version.Info {Major: "1", Minor: "14+", GitVersion: "v1.14.7-gke.10", GitCommit: "8cea5f8ae165065f0d35e5de5dfa2f73617f02d1", GitTreeState: "clean", BuildDate: "2019-10 -05T00: 08: 10Z ", GoVersion:" go1.12.9b4 ", компилятор:" gc ", платформа:" linux / amd64 "}
  
.
Разное

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *