【翻译】外部秘密社区的诞生

CSDN-Ada助手

于 2023-03-26 03:09:59 发布

阅读量1.6k

点赞数

分类专栏：翻译

本文探讨了Kubernetes中管理外部秘密的挑战，介绍了几个流行的解决方案，如Kubernetes-External-Secrets、Container Solutions External Secrets Operator和AWS Secret Operator。随着多个类似项目的出现，社区开始整合工作，形成了新的外部秘密项目。这个新的中央解决方案，基于Go语言和Kubebuilder，旨在统一和简化跨云服务的外部秘密管理。

摘要由CSDN通过智能技术生成

在Kubernetes中管理秘密可能是一项繁琐的工作。在一个多服务多环境的设置中，你可能在不知不觉中拥有数百个秘密。很难跟踪所有的东西，同时管理秘密的轮换，加入新的服务，并以正确的访问权限加入新的人员。

有很多现有的解决方案来管理这些问题，如AWS Secret Manager和Vault。这些解决方案的功能通常远远超过我们在库存Kubernetes中的功能。而你的组织很有可能已经在使用这样的解决方案，他们对此很满意。因此，很多人认为，"为什么我不能在Kubernetes中使用这个？"

这导致了大量的项目，用于从云服务中同步秘密并将其注入Kubernetes秘密。

通过这篇博文，我们想向你展示这个领域的热门项目，并解释一个社区是如何在新的外部秘密项目上形成的。

TL;DR：

我们新的外部秘密运营商的简要历史：

Godaddy在这个领域有受欢迎的孩子，有1。5k stars

出于某种原因，很多类似的解决方案在各地涌现

https://t.co/9Aq1A7Vvg5

我们聚在一起，考虑合并

🧵👇-

Lucas Severo Alves（@canelasevero） 2021年2月26

日

Repo链接：https://github.com/external-secrets/external-secrets

学校里最受欢迎的孩子

GoDaddy的 kubernetes-external-secrets （简称KES）是最受欢迎的外部秘密同步解决方案，在GitHub上有超过1700颗星，有大量的用户。这个解决方案很稳定，社区参与度很高，活跃的维护者经常推送改进。这个解决方案获得青睐的一个重要原因是，它可以很容易地扩展到支持任何你想使用的外部秘密供应商。

目前，它支持以下供应商：

阿里巴巴云秘密管理器
Azure Key Vault
谷歌云秘密管理器
IBM云秘密管理器
AWS秘密管理器
AWS系统管理器
和Hashicorp Vault

为了更深入地了解KES的工作原理，你可以看一下这篇博文，"Kubernetes外部秘密"。但简而言之，就像我们在这里描述的所有解决方案一样，它从外部供应商那里读取秘密，并将其同步到本地Kubernetes秘密中。

PSarchitecture

KES似乎是成为处理外部秘密的事实方式的完美候选者，考虑到它支持所有重要的供应商，拥有一个伟大的社区，并积极维护，对吗？但它有一个问题：它是用JavaScript开发的。

JavaScript本身并没有什么不好，但在这个用例中，使用Go有一些很大的优势。主要原因是Kubernetes中对Go的一流SDK支持。另一个原因是工具：使用Golang，我们可以利用 Kubebuilder 或 Operator SDK 来帮助我们启动和遵循Kubernetes Operator的最佳实践和标准。