使用GitOps管理k8s secret

最新推荐文章于 2024-04-20 09:50:15 发布
最新推荐文章于 2024-04-20 09:50:15 发布
阅读量231 收藏
点赞数
分类专栏: gitops k8s 文章标签: gitops k8s
个人主页: http://gzh.readthedocs.io; 微信公众号: double12gzh
本文链接:https://blog.csdn.net/gzhouc/article/details/108914748
版权

目录

1. 写在前面

原文链接

GitOps是伴随着云原生产生的一个新的概念,它的核心是以一种声明式的方式管理资源,表示当前的状态,让你在任何时候都能知道git中的情况,并将这种声明式的状态解析为集群。

我们在GitOps上犯的最大错误是结构。仓库的结构至关重要,你选择如何在公司里组织GitOps,将决定它的成败。

当你解决了结构问题之后,我们面临的下一个最大的问题就是如何保证Secret的安全。一般来说,最后的结果是人们有不需要的访问权限,或者有一个共享的Secret,通过Slack或1Password传来传去。

Sealed Secrets是Kubernetes上解决Secret的一种流行方式,它是一个不错的解决方案,依靠PKI共享公钥来加密,并在集群上安装私钥。

本文将尝试解释如何使用GitOps来管理k8s的Secret资源。

2. 管理Secret比较好的方式

Mozilla的SOPS

SOPS支持多种来源的密钥输入,包括AWS KMS、GCE、Vault、PGP等。它提供了使用AWS KMS的外部密钥作为输入来加密和解密秘密的能力,但它也支持Shamir的Secret共享和密钥组,本质上允许对解密所需的密钥以及这些密钥的数量进行策略。

由于SOPS让我们有能力使用AWS KMS这样的服务,我们可以控制谁有加密和解密的权限,但这也意味着我们可以利用AWS的实例配置文件,让机器做它们设计时最擅长的事情,通过自动化让我们的生活更轻松。

最后一个我想提请大家注意的功能是,一旦文件被加密,所有关于如何加密的元数据都是文件本身的一部分,不需要第三方服务、数据库、隐藏目录或二级文件来知道如何解密文件。

Flux对SOPS有一流的支持。

3. 结构

一开始我就说过,正确架构你的仓库是至关重要的。这一点来源于个人在工程实践中总结的一些经验之谈,对于不同的场景,您可能需要权衡一下我这里的"最佳实践"。

对于结构化化来说,通常可以简单的分成两个部分:

  • 仓库中内容的布局
  • 使用仓库的数量

在我的项目中,我通常会使用三个库:

  • 定义集群运行所需的每一个基础资源
  • 处理工程团队负责的产品的所有发布
  • Secret使用

项目中我只使用了SOPS与专用的Secret库,使用Flux和SOPS使我们获得了这种能力,具有前所未有的灵活性。

3.1 目录结构

|-- .sops.yaml
|-- secrets
    |-- dev (environment/cluster)
        |-- database.yaml
最低0.47元/天 解锁文章
double12gzh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GitOps应用实践系列-Argo CD 实践篇
k8s 生态
11-01 1131
大家好,我是张晋涛。在前两篇内容中,我分别为大家介绍了 GitOps 的概念用于实施 GitOps 的工具 Argo CD创建集群我们通过 KIND(Kubernetes in Docke...
深入浅出k8s.rar
06-24
最后,K8s 社区活跃,拥有丰富的插件和周边生态系统,如Istio服务网格、Knative无服务器框架、Helm包管理器等,这些都能进一步提升K8s的功能和使用体验。 总的来说,《深入浅出K8s》这本书将引导读者全面了解...
GitOps系列】K8s极简实战
Kason_iWiki
07-14 617
GitOps系列】K8s极简实战-基础篇
探索 GitOps 在 Kubernetes 部署中的新实践:k8s-gitops
最新发布
gitblog_00061的博客
04-20 332
探索 GitOps 在 Kubernetes 部署中的新实践:k8s-gitops 项目地址:https://gitcode.com/xUnholy/k8s-gitops 在现代 DevOps 流程中,GitOps 已经成为了一种趋势,它将 Kubernetes 的集群管理状态纳入了版本控制之中。今天我们要介绍的是 xUnholy/k8s-gitops 这个项目,一个轻量级、灵活的解决方案,帮助...
【云原生 | Kubernetes 系列】--Gitops持续交付 ArgoCD 部署与概念
Q先生
11-18 1729
【云原生 | Kubernetes 系列】--Gitops持续交付 ArgoCD 部署与概念
云原生项目实践DevOps(GitOps)+K8S+BPF+SRE,从0到1使用Golang开发生产级麻将游戏服务器—第4篇...
o__cc的博客
02-17 497
游客登录鉴权之业务代码实战 系列文章 从0到1使用Golang开发生产级麻将游戏服务器—第1篇 从0到1使用Golang开发生产级麻将游戏服务器—第2篇 从0到1使用Golang开发生产级麻将游戏服务器—第3篇 介绍 这将是一个完整的,完全践行 DevOps/GitOps 与 Kubernetes 上云流程的 Golang 游戏服务器开发的系列教程。 这个系列教程是对开源项目 Nanose...
k8s 存储之secret
leechm的博客
09-04 696
目录 Service Account Opaque Secret Ⅰ、创建说明 Ⅱ、使用方式 1、将 Secret 挂载到 Volume 中 2、将 Secret 导出到环境变量中 kubernetes.io/dockerconfigjson Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。也就意味着我们有一些密码被我们的pod去使用
k8s-gitops-services:Kubernetes在家的GitOps工作流程(实际服务)
03-17
关于此仓库包含各种供内部使用的...秘密管理为了将所有内容存储在Git中(基础结构作为代码),我使用Bitnami Labs的“密封秘密”概念: 要加密k8s机密, kubeseal在客户端使用kubeseal实用程序: $ kubeseal --cert ...
k8s笔记,课件,资料,心得
03-14
Kubernetes(简称k8s)是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理k8s笔记、课件和资料集合了大量的关于这个先进平台的知识点,涵盖了从基础概念到高级实践的各个方面。下面,...
home-cluster-gitops:树莓派K8s集群的ArgoCD GitOps的回购
02-15
K8s集群引导程序和应用程序安装比塔南密封的秘密安装密封的秘密helm upgrade --install sealed-secrets -n kube-system ./manifests/sealed-secrets -f manifests/sealed-secrets/values.yaml封印秘密kubeseal --...
k8s-gitops:由GitOps管理的Kubernetes集群-Git作为单一事实源,自动化管道,声明性一切,下一代DevOps
02-09
首次引导群集时,必须删除secrets/k8s-secret-sealed-secret-private-key.yaml文件,并在sealed-secret控制器发布新的私钥后将其替换。 在阅读更多 安装工具包GitOps到您的集群开始使用以下命令同步您的回购: ...
k8s-gitops:FluxGitops管理k8s集群
02-25
k8s-gitops 介绍 这是一个由使用的模型的Flux / Gitops管理k8s集群。 该存储库定义了集群并监视更新,并对其进行推送。 簇 组成集群的服务器通过进行配置,并通过在裸机上进行配置。 该引导过程以及k8s工作者节点都是通过私有git存储库(此处未包括)配置的。 此处不包括的初始群集设置包括: 具有通过管理的3个节点的 通过设置的 用于通过负载均衡kubernetes API的haproxy 用于经由ansible簇的内部网络 用于通过头盔为集群和tls密钥提供ingress 该存储库管理k8s集群中运行的所有其他内容。 请参阅设置/通量引导程序。 动机 该集群有多个现有的Helm Charts,这些Helm Charts是手动安装的,并被移到该存储库中以自动进行部署。 我自己通过单独的头盔值文件有效地管理了每个环境的变态化。 进步 [x]自举通量和运算符[x
k8s-gitops:我的k8s集群是用kubeadm构建的,并由Flux-v2管理
02-09
GitOps + Kubernetes 总览 重新尝试正确记录我的家庭实验室。 :)此页面将在我有空时更新。 社区 我们有一个充满活力的社区,每个人都在家中运行各种K8S工作负载。 点击上方的Discord链接加入我们! 谢谢 此仓库的许多灵感来自社区中的一些杰出人士,其中许多人已将其页面添加到此列表中:
GitOpsKubernetes多集群环境下的高效CICD实践.pdf
08-29
GitOpsKubernetes多集群环境下的高效CICD实践.pdf
k8s-gitopsk8s GitOps回购,带有helmfile,kustomize和sops的秘密
02-17
K8s GitOps :notebook: 用法 输入部署文件夹,并使用环境(此仓库中的dev或nuc )执行helmfile。 样本 helmfile --environment dev apply 部署-0 对于传入的流量,它将安装一个metallb负载平衡器,2个Nginx入口控制程序(一个用于LAN,一个用于WAN,该控制器还带有用于SSL证书的证书管理器)。 对于存储,将为本地PV安装OpenEBS,为分布式存储安装Longhorn,并为备份安装velero。 密码存储在SOPS下,helmfile将使用PGP自动对其进行解码(如果要克隆存储库,则必须使用自己的证书制作自己的机密文件)。 :wrench: 部署工具 用于部署的一些工具 工具 小说明 K8S Yaml文件的配置管理 使用PGP进行秘密管理 使用Helm文件根据环境部署自动化 使用kustomize作为Helm文件
k8s-gitops
02-13
k8s-gitops-通过Flux v2的家庭云| GitOps工具包 使用flux v2的集群的GitOps状态 通过安装的Microk8s多体系结构高可用性集群。 群集旨在允许完全撕裂它,而不会丢失任何数据。 ** WIP **-仍在移动。 应用: 内部git服务器(保留我的GitHub项目的备份) -CI与本地Kubernetes Runner -家庭自动化 -Homematic家庭自动化平台 - 视觉工作室代码服务器 系统: 使集群与此保持同步-提醒Slack和GitHub 入口控制器 manager-自动letencrypt代理 裸机负载均衡器 持久性-请参阅: 机密: -Ansible,部署 -助焊剂,K8S GitOps 档案: 速度很快,但取决于Sinology NAS:nfs 速度较慢但已复制:自定义glusterfs容器+ Hekit
GItOps - k8s的微服务实战1 - 构建业务镜像
stark张宇
02-03 710
在学习了容器化、docker和k8s的 Ingress-Nginx 、server 和pod 知识后,开启了 k8s的微服务实战第三篇,在搭建环境废了一点周折,这次实战的目的是集成在gitlab里,实现自动打包、发布的功能。Mac M2芯 搭建k8s(minikube)超详细实战Mac M2芯 搭建k8s(kubeadm)超详细实战最后一点也是我最想说的地方,中间过程错了好多次,每一个都很诡异,最后终于都克服了,看到这里的小伙伴加油呀,别放弃,一切会好,可以把这个做为基础,这些都是差不多的,原理都是一样的。
云原生下基于K8S声明式GitOps持续部署工具ArgoCD实战-上
itxiaoshen博客
10-03 931
ArgoCD是Kubernetes的声明式、GitOps连续交付工具,通过Kubernetes控制器来实现。本篇介绍ArgoCD基本功能、组件和工作流程,也介绍通过kubekey部署简单K8S集群和基于K9S简易管理K8S集群,并通过K8S部署ArgoCD,通过二进制部署和配置ArgoCD的命令行工具,最后以一个官方示例演示ArgoCD创建APP的简易示例入门。
k8s secret 使用示例
02-21
Kubernetes Secret 是一种用来存储敏感信息的Kubernetes资源,比如用户名...接下来,您可以将Secret对象附加到Pod资源中,以便Pod能够使用它们。例如,您可以将Secret对象挂载到Pod的文件系统中,以便Pod可以访问它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值