K8S Secret管理之SealedSecrets

已于 2024-05-24 20:20:23 修改
阅读量830 收藏 18
点赞数 10
分类专栏: 云原生 Kubernetes 文章标签: SealedSecret Secret K8S
于 2024-05-20 19:59:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/139065429
版权

1 关于K8S Secret

我们通常将应用程序使用的密码、API密钥保存在K8S Secret中,然后应用去引用。对于这些敏感信息,安全性是至关重要的,而传统的存储方式可能会导致密钥在存储、传输或使用过程中受到威胁,例如在git中明文存储密码或在配置文件中以明文形式存放密码。

2 SealedSecrets

为了解决Secret的安全问题,SealedSecrets通过使用公钥加密技术来提高密钥的安全性。它使用了非对称加密算法,将明文的secret加密为SealedSecrets,只有具有相应私钥的受信任的控制器才能解密和使用密钥。在这种情况下,即使是创建密钥的人也无法从加密的secret中恢复原始secret。

3 部署SealedSecrets

直接通过helm安装,

helm repo add sealed-secrets https://bitnami-labs.github.io/sealed-secrets
helm search repo sealed-secrets/sealed-secrets
NAME                         	CHART VERSION	APP VERSION	DESCRIPTION
sealed-secrets/sealed-secrets	2.15.3       	0.26.2     	Helm chart for the sealed-secrets controller.

这里有个坑,需要注意下,因为默认helm安装的controller名字是sealed-secrets,但是客户端工具kubeseal默认是用的服务名称是sealed-secrets-controller,因此安装时要通过–set-string设置下名字,否则使用kubeseal时会有下列报错,

error: cannot get sealed secret service: services "sealed-secrets-controller" not found.
Please, use the flag --controller-name and --controller-namespace to set up the name and namespace of the sealed secrets controller

安装当前最新版本2.15.3

helm install sealed-secrets --set-string fullnameOverride=sealed-secrets-controller sealed-secrets/sealed-secrets --version 2.15.3
NAME: sealed-secrets
LAST DEPLOYED: ...
NAMESPACE: kube-system
STATUS: deployed
REVISION: 1
TEST SUITE: None
NOTES:...

sealed-secrets默认会安装到kube-system namespace,

kubectl get po -n kube-system | grep sealed-secrets
sealed-secrets-6bdbdfcf6-kgt7x         1/1     Ru
最低0.47元/天 解锁文章
Blue summer
关注
  • 10
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes 中的 Secret加密存储
丰耳的博客
01-03 1230
为安全方便的将K8S的secret进行git版本,需要引入对secret进行加密的工具:Sealed-Secrets
Kubernetes 通过 Sealed Secrets 实现加密部署
engchina的专栏
01-29 708
Kubernetes 通过 Sealed Secrets 实现加密部署
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 994
◆ kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
Kubernetes中的安全秘钥管理:Sealed Secrets
gitblog_00057的博客
05-11 269
Kubernetes中的安全秘钥管理:Sealed Secrets 项目地址:https://gitcode.com/bitnami-labs/sealed-secrets 在Kubernetes环境中,数据安全尤其重要,尤其是敏感的Secret资源。Sealed Secrets是一个创新的解决方案,旨在解决如何安全地存储和管理这些秘钥的问题。该项目通过提供一种加密方法,使得即使秘钥存储在公共仓库...
在K8S中,如何安全管理Secrets?
wanger5354的博客
01-11 3241
为何要加密?在Kubernetes中,Secret是用来帮我们存储敏感信息的,比如密码、证书等,但是在默认的情况下,Secret只是做了简单的base64编码,任何人都可以非常容易的对其进行解密获取到原始数据。比如通过以下方法生成一个secret对象:$ echo -n "coolops" | kubectl create secret generic mysecret --dry-run --fr
K8S Secret管理之SOPS
最新发布
Blue summer的博客
05-24 409
SOPS (Secret OPerationS) 是一个由 Mozilla 开发的命令行工具,用于加密和解密文件中的敏感数据。SOPS支持使用 AWS KMS、GCP KMS、Azure Key Vault、PGP 加密 YAML、JSON、ENV、INI 以及二进制格式的文件。其主要目标是使敏感信息(例如配置文件、凭证、密钥等)的管理变得简单、安全且可自动化。SOPS 的设计旨在与 Git 等版本控制系统一起使用,允许安全地存储和传输加密文件。
容器云管理之K8S集群概述
03-03
时下随着虚拟化云和容器技术的大力发展,将云和...越来越多的公司开始将他们的工作负载转移到云中,应用程序变成了复杂的系统,由多个集成且不断发展的小部件组成,为了解决容器云的管理谷歌推出了容器编排系统Kuber
k8s之lens使用方式
06-30
k8s之lens使用方式
K8S之 metrics-server 组件
06-17
在Kubernetes(K8S)...总结,metrics-server在K8S中扮演着资源管理的关键角色,提供实时的度量数据以支持自动扩缩容、优化调度和监控。理解和有效利用metrics-server,对于提升K8S集群的性能和稳定性具有重要意义。
kubeseal-web:另一个使用 Sealed Secrets 保护 Kubernetes 机密的 Web UI
05-29
kubeseal-web :locked_with_key: 另一个使用保护 Kubernetes 机密的 Web UI。 这仍在开发中。 它有效,但使用风险自负。 为什么我需要这个? 您希望为开发人员提供一种无需安装kubectl和/或无法访问 Kubernetes 集群的简单方法来密封秘密 您不希望开发人员能够解开/解密密封的秘密(本质上是只写) 您想要一个简单的解决方案,它不涉及大量移动部件和大量手动设置 (3)、Web UI 是使用轻量级库(Tailwind CSS 和 Alpine.js)构建的,并且可以作为单个二进制文件/部署运行。 警告: Web UI 不受任何开箱即用的 authN 保护。 尽管公开访问它不会带来任何重大风险,但强烈建议限制其访问受信任的网络和/或受信任的身份,以减少任何潜在的滥用(即自带身份验证)。 部署 在 Kubernetes 集群中安装kubeseal-web的推荐方法
sealed-secrets, 一种Kubernetes控制器和一种加密密钥.zip
10-09
sealed-secrets, 一种Kubernetes控制器和一种加密密钥 用于Kubernetes的"密封的机密" 我能在git中管理所有的K8s配置,除了秘密。"解决方案: 将秘密加密到一个SealedSecret中,这对存储- 甚至是一个存储库来说是安全的。 在目标集群中运行的控制器只能解密 Se
k8s之DashBoard
03-04
k8s之DashBoard
从KubeOperator开启k8s之旅
01-27
KubeOperator是一个开源项目,在离线网络环境下,通过可视化WebUI在VMware、Openstack 或者物理机上规划、部署和运营生产级别的Kubernetes集群。KubeOperator是Jumpserver 明星开源团队在Kubernetes领域的的又一全新...
kubernetes(k8s):secret配置管理
weixin_43936969的博客
05-20 1072
文章目录1. secret配置管理的作用和类型2. 查看卷的挂载3. 每个namespace下有一个名为default的默认的serviceaccount对象4. opaque secret其value为base64编码后的值4.1 从文件中创建secret4.2 编写一个secret对象4.3 将secret挂载到volume中4.4 向指定路径映射secret密钥4.5 将secret设置为环境变量4.6 kubernetes.io/dockerconfigjson用于存储docker registry
kubernetes之secret
weixin_30698297的博客
07-29 127
secret 作用: 保管私密数据 secret使用场景 1. 创建pod时候, 为pod指定serviceaccount来自动使用secret 2. 通过挂载该secret到pod来使用它 3. 下载docker镜像, 通过指定pod的spec.ImagePullSecrets来引用 4. 生成变量 通过挂载该secret到pod来使用它, pod容器里生成文件 创建secret ...
k8s secret 证书
05-13
Kubernetes Secret 是一个用来存储敏感数据的 Kubernetes 对象,包括 API 密钥、密码、 OAuth 令牌和 TLS 证书等。要创建一个 TLS 证书的 Secret,可以执行以下步骤: 1. 创建一个包含证书和私钥的 PEM 文件。可以通过 OpenSSL 等工具生成这个文件。 2. 将 PEM 文件的内容放入 Kubernetes Secret 中。可以使用 `kubectl create secret tls` 命令创建 Secret,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> ``` 也可以将 PEM 文件的内容以 base64 编码的形式放入 Secret 中,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> --dry-run=client -o yaml | kubectl apply -f - ``` 其中 `--dry-run=client -o yaml` 选项会将 Secret 的 YAML 配置输出到标准输出,`| kubectl apply -f -` 会将 YAML 配置应用到 Kubernetes 集群中。 3. 在需要使用证书的 Kubernetes 对象(如 Ingress、Service 等)的 YAML 配置中,将 Secret 的名称和证书密钥的名称指定为 TLS 配置的一部分,如下所示: ``` apiVersion: extensions/v1beta1 kind: Ingress metadata: name: my-ingress annotations: nginx.ingress.kubernetes.io/ssl-cert: <secret-name> spec: tls: - hosts: - example.com secretName: <secret-name> ... ``` 在这个例子中,`nginx.ingress.kubernetes.io/ssl-cert` 注解指定了使用哪个 Secret,`tls.secretName` 指定了 Secret 的名称。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值