Kubernetes SOPS 秘密操作器使用指南

于 2024-09-15 08:29:14 发布
阅读量716 收藏 17
点赞数 23
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00919/article/details/142276322
版权

Kubernetes SOPS 秘密操作器使用指南

sops-secrets-operator Kubernetes SOPS secrets operator sops-secrets-operator 项目地址: https://gitcode.com/gh_mirrors/so/sops-secrets-operator

项目介绍

Kubernetes SOPS 秘密操作器 是一个灵感来源于 Bitnami SealedSecrets 和 SOPS 的 Kubernetes 控制器。它专门用于管理由用户定义的 SopsSecrets 自定义资源(CRs)创建的 Kubernetes Secret 资源。通过这个工具,你可以方便地在 Kubernetes 集群中使用加密的秘密,并且这些秘密可以被妥善存储于版本控制系统中,如 Git。支持 AWS、GCP、Azure 以及本地托管的 Kubernetes 集群中的 KMS 加密,并且与 Jenkins 之类的 CI/CD 工具集成友好。

项目快速启动

安装前提

确保你的环境中已配置好 Kubernetes,并安装了 kubectlhelm。另外,准备 SOPS 工具以加密你的敏感数据。

添加 Helm 库

首先,添加 SOPS Secrets Operator 的 Helm 仓库到你的环境:

helm repo add sops https://isindir.github.io/sops-secrets-operator/

创建必要的基础设施(示例以 AWS KMS 为例)

  1. 创建 AWS KMS 密钥

  2. 设置 AWS 角色以允许操作员解密,参照 SOPS 文档进行配置。

  3. 在集群中部署 CRD(自定义资源定义):

    kubectl apply -f config/crd/bases/isindir.github.com_sopssecrets.yaml

部署操作器

创建一个命名空间并部署 Helm 图表:

kubectl create namespace sops
helm upgrade --install sops sops/sops-secrets-operator --namespace sops

应用案例和最佳实践

假设我们需要将 Jenkins 的凭证安全地存储并自动管理:

  1. 创建加密的 SopsSecret 文件

    假定有一个名为 jenkins-secrets.yaml 的文件,使用 SOPS 对其进行加密,指定 AWS KMS 键来加密数据:

    sops --encrypt \
     --kms 'arn:aws:kms:<region>:<account>:alias/<key-alias-name>' \
     jenkins-secrets.yaml > jenkins-secrets.enc.yaml

  2. 在 Kubernetes 中应用加密后的配置

    你需要先配置一个指向该加密资源的 SopsSecret CR,然后操作员会处理解密和秘密的应用。

    apiVersion: isindir.github.com/v1alpha3
kind: SopsSecret
metadata:
  name: example-jenkins-secret
spec:
  secretTemplates:
    - name: jenkins-secret
      stringData:
        username: '!sops'
        password: '!sops'

    然后使用 Kubernetes 命令应用这个配置,但实际步骤需要配合解密操作,具体步骤应参考操作员提供的详细指导。

典型生态项目

  • 与 Jenkins 结合: 使用 SOPS Secrets Operator,你可以轻松将加密的 Jenkins 凭证作为 Kubernetes Secrets 管理,实现自动化部署过程中的安全认证。
  • GitOps 流程: 结合 FluxCD 或其他 GitOps 工具,可以实现在每次更改时自动更新和部署秘钥,无需人工干预解密或手动复制秘钥。
  • 多云策略: 因为支持 AWS、GCP、Azure 多个平台的 KMS,这使得跨云或者混合云环境下的秘密管理变得更为灵活和统一。

请注意,上述步骤是简化的概述,每个环节可能需要更详细的配置,务必参照 官方文档 获取完整和最新的指令。

sops-secrets-operator Kubernetes SOPS secrets operator sops-secrets-operator 项目地址: https://gitcode.com/gh_mirrors/so/sops-secrets-operator

颜虹笛
关注
sops-secrets-operator:州长SOPS秘密操作
04-09
SOPS秘密行动-Kubernetes运营商 管理从用户定义的SopsSecrets CR创建的Kubernetes秘密资源的运营商,其灵感来自和 。 SopsSecret CR定义了多个kubernetes Secret资源。 它支持使用批注和标签管理kubernetes机密,...
sops_gpg_tutorial:将SOPS与GPG一起使用的入门指南
03-11
SOPS与GPG一起使用的入门指南 Quick'n Easy GPG速查表 如果找到此页面,则希望它是您想要的。 这只是gnu隐私卫士(gpg)中某些命令行功能的简要说明。 文件名以斜体显示(松散的,有些不是,对不起),因此,...
kubernetes-homelab:我的Kubernetes homelab配置
02-20
-Sops是加密文件的编辑 与OpenPGP兼容的免费加密软件 材料清单 物品 描述 数量 单价 总价 标题 4 59.98 $ 239.92 文本 2 13.99 $ 27.98 文本 1个 24.99 $ 24.99 文本 1个 25.99 $ 25.99 文本 2 9.99 $ ...
terraform-provider-sops:Terraform提供程序,用于读取Mozilla的sops文件
05-01
使用Sops加密文件: sops demo-secret.enc.json { " password " : " foo " , " db " : { " password " : " bar " } } sops_file terraform { required_providers { sops = { source = " carlpett/sops " ...
gmh-sops:肠道微生物与健康标准操作程序
03-22
本文将详细介绍“gmh-sops”——一个围绕肠道微生物与健康研究的标准操作程序。 一、Nextflow框架 在GMH项目中,Nextflow被用作核心的数据处理和分析工具。Nextflow是一种流程管理系统,专门设计用于生物信息学和...
Oracle骨脚本卷积神经网络识别-RTL_CNN.zip
10-03
Oracle骨脚本卷积神经网络识别-RTL_CNN
修改了谷歌提供的示例量子卷积神经网络模型,并在KDD99数据集上对其进行训练
10-03
修改了谷歌提供的示例量子卷积神经网络模型,并在KDD99数据集上对其进行训练,以实现网络攻击分类检测_ QuantumCnn NetworkAttackDetection
Eclipse下载、安装、配置教程(图文详解,建议收藏!!!)
10-03
eclipse Eclipse下载、安装、配置教程(图文详解,建议收藏!!!)
基于Python实现的地下车位分布算法设计源码
10-03
该项目是一个基于Python实现的地下车位分布算法设计源码,包含594个文件,其中包括542个Python源代码文件、19个可执行文件、6个文本文件、5个XML文件以及少量配置文件和模板文件。该算法旨在优化地下车位的分配与管理。
华为杯数学建模中,C题的数据清洗程序。_Math-Model-HuaWeiCup-2020.rar
10-03
华为杯数学建模中,C题的数据清洗程序。_Math-Model-HuaWeiCup-2020
基于OpenCV和Python的车牌号识别与提取设计源码
10-03
该项目是一款基于OpenCV和Python的车牌号识别与提取设计源码,包含44个文件,其中包括37个JPG图片文件用于车牌样本,4个Markdown文件提供项目文档,2个Python源文件实现核心算法,以及1个Python编译文件。该项目专注于车牌号码的自动识别,适用于各类需要车牌信息提取的应用场景。
基于分布式驱动电动汽车的路面附着系数估计,分别采用无迹卡尔曼 滤波(UKF)和容积卡尔曼滤波(CKF)对电动汽车四个车轮的路面附
10-03
基于分布式驱动电动汽车的路面附着系数估计,分别采用无迹卡尔曼 滤波(UKF)和容积卡尔曼滤波(CKF)对电动汽车四个车轮的路面附着系数进行估计。 可在高速,低速下,对开路面,对接路面四种组合工况下对路面附着系数进行准确估计估计。 该模型的两种估计算法均由S-function编写,可比较二种滤波的估计效果。
基于Vue框架的农产品溯源系统设计源码
10-03
本项目是一款基于Vue框架的农产品溯源系统设计源码,包含375个文件,其中包含89个JavaScript文件、83个Vue组件文件、71个SVG图像文件、64个Java后端文件、16个XML配置文件、13个PNG图片文件、8个SCSS样式文件、4个Git忽略配置文件、3个YAML配置文件、3个JSON数据文件。该系统以农产品溯源为核心功能,旨在提供全面的产品信息追踪服务。
基于LabVIEW与ESP32C3CH4单片机的无线加速度传感设计与源码
10-03
该项目是一个基于LabVIEW和ESP32C3CH4单片机的无线加速度传感设计源码,包含29个文件,涵盖22个LabVIEW程序文件、2个Markdown文件、1个二进制文件、1个Python脚本文件、1个许可文件、1个Word文档和1个LabVIEW工程文件。该设计旨在实现无线加速度数据的采集与传输,适用于需要进行动态监测和智能控制的场合。
基于Vue3、Vite3、TypeScript等技术的全栈互动虚拟人视频应用设计源码
10-03
该项目是一款基于Vue3、Vite3、TypeScript等前沿技术的全栈互动虚拟人视频应用设计源码,总计包含455个文件,涵盖126个Vue组件、91张PNG图像、84个TypeScript脚本等。该应用通过集成Pinia、Vant、Windi CSS等技术栈,实现了自动路由注册、全局组件注册、IPC通信、白名单管理、全局窗口控制以及版本自动更新等功能。支持输出H5网页和桌面客户端,适用于构建高性能、跨平台互动虚拟人视频应用。
yolov8训练自己的数据集.docx
10-03
yolov8训练自己的数据集
comsol复杂多裂缝流固耦合三轴实验模型
最新发布
10-03
comsol复杂多裂缝流固耦合三轴实验模型
基于容的企业服务初始化部署-程序设计毕业设计(论文+答辩 ppt+程序)
10-03
【作品名称】:基于容的企业服务初始化部署-程序设计【毕业设计】(论文+答辩 ppt+程序) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: 最近几年,容技术在国内外发展的非常迅速,国外已经形成了相对成熟的生态圈,相较国内,国内很多的大中型企业已经慢慢从IaaS向PaaS过渡并取得了许多显著成果,但是也有很多的中小型企业踌躇不定,在平台过渡上徘徊,本篇站在中小型企业的立场上实现了普通云服务简易化过渡到容,并且以很简单的方式部署了几个企业级应用,让中小型的企业看到容的优点,并简易的使用上容,实现从0到1的过渡。 [关键词]:Docker;容;PaaS 本课题基于VMware所开发,开发环境为Windows10,运行环境为CentOS7,编写语言为shell,运行环境最低配置要求2核4G。由于没有实体机去 【资源声明】:本资源作为“参考资料”而不是“定制需求”,代码只能作为参考,不能完全复制照搬。需要有一定的基础能够看懂代码,能够自行调试代码并解决报错,能够自行添加功能修改代码。
基于Java语言的AC设备数据流生成与交互设计源码
10-03
本项目为基于Java语言的AC设备数据流生成与交互设计源码,包含62个文件,包括24个Java源文件、19个类文件、4个XML配置文件、3个首选项文件、2个元数据文件以及少量其他类型文件,旨在实现与AC设备的有效数据交互与处理。
VHDL实现层次化4位加法设计详解
- 使用计算机和Gxsoc/sops-Dev-Lab平台,以及Cyclone IIEP2C35F672C8核心板作为硬件环境。 - Quartus 8.0是一款常用的VHDL开发工具,用于设计、编译、综合和测试VHDL代码。 3. 实验设计要求: - 学生需独立或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

颜虹笛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值