Velero AWS插件SSE-C加密备份问题分析与解决方案

问题背景

在使用Velero AWS插件(v1.9.0及以上版本)进行备份操作时，当配置了客户提供的加密密钥(SSE-C)时，备份过程会失败并返回错误信息："Requests specifying Server Side Encryption with Customer provided keys must provide the client calculated MD5 of the secret key"。这个问题在v1.8.1版本中不存在，但在升级到v1.9.0及后续版本后出现。

技术分析

SSE-C加密机制

AWS S3服务支持多种服务器端加密方式，其中SSE-C(Server-Side Encryption with Customer-Provided Keys)允许用户自行管理加密密钥。当使用SSE-C时，AWS要求客户端必须提供两个关键参数：

1. 加密密钥本身(SSECustomerKey)
2. 该密钥的MD5校验和(SSECustomerKeyMD5)

这两个参数都需要以Base64编码形式提供。

问题根源

在Velero AWS插件v1.9.0及后续版本中，虽然从配置文件中正确读取了客户提供的加密密钥，但没有按照AWS的要求计算并附加MD5校验和。具体表现为：

1. 插件从customerKeyEncryptionFile路径读取了32字节的密钥
2. 直接将该密钥用于请求，没有进行MD5计算和Base64编码
3. AWS S3服务因缺少必需的MD5校验和而拒绝请求

解决方案

临时解决方案

在v1.9.2版本中，可以通过在BackupStorageLocation配置中添加checksumAlgorithm: ""来跳过校验和计算：

spec:
  config:
    checksumAlgorithm: ""

但需要注意的是，这种方法在某些环境下可能仍然无效。

永久解决方案

Velero团队已经通过PR #225修复了这个问题。修复方案的核心逻辑是：

1. 读取客户提供的加密密钥
2. 对密钥进行MD5哈希计算
3. 将原始密钥和MD5哈希值都进行Base64编码
4. 在S3请求中正确设置SSECustomerKey和SSECustomerKeyMD5参数

修复后的代码逻辑如下：

customerKey, err := readCustomerKey(customerKeyEncryptionFile)
if err != nil {
   return err
}
sseCustomerKey := base64.StdEncoding.EncodeToString([]byte(customerKey))
o.sseCustomerKey = sseCustomerKey
hash := md5.Sum([]byte(customerKey))
sseCustomerKeyMd5 := base64.StdEncoding.EncodeToString([]byte(hash))
o.sseCustomerKeyMd5 = sseCustomerKeyMd5

最佳实践建议

1. 版本选择：如果必须使用SSE-C加密，建议等待包含修复的正式版本发布后再升级
2. 密钥管理：确保客户提供的加密密钥文件具有正确的权限设置，仅限Velero进程访问
3. 测试验证：在生产环境部署前，先在测试环境验证备份/恢复流程
4. 监控配置：升级后密切监控备份作业状态，确保加密功能正常工作

总结

Velero AWS插件在v1.9.0版本引入的SSE-C加密支持存在实现不完整的问题，导致备份操作失败。开发团队已经识别问题原因并提供了修复方案。对于依赖SSE-C加密的用户，建议关注官方发布的新版本，或按照本文提供的临时解决方案进行配置调整。同时，这也提醒我们在使用加密功能时，需要充分理解云服务提供商的具体实现要求，确保客户端实现与服务端期望完全匹配。