K8S Secret管理之SOPS

已于 2024-05-24 20:16:10 修改
阅读量392 收藏 4
点赞数 3
分类专栏: 云原生 Kubernetes 文章标签: SOPS Secret K8S
于 2024-05-24 20:15:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/139152165
版权

1 关于SOPS

SOPS (Secret OPerationS) 是一个由 Mozilla 开发的命令行工具,用于加密和解密文件中的敏感数据。SOPS支持使用 AWS KMS、GCP KMS、Azure Key Vault、PGP 加密 YAML、JSON、ENV、INI 以及二进制格式的文件。其主要目标是使敏感信息(例如配置文件、凭证、密钥等)的管理变得简单、安全且可自动化。SOPS 的设计旨在与 Git 等版本控制系统一起使用,允许安全地存储和传输加密文件。

2 工作原理

以使用AWS KMS为例,SOPS的加密流程大致如下,

  1. 生成数据密钥:SOPS 生成一个临时的随机数据加密密钥(DEK)
  2. 加密数据:使用生成的 DEK 加密文件中的data字段
  3. 加密 DEK:使用配置的 KMS 密钥 ARN 加密 DEK
  4. 保存元数据:将加密后的 DEK 和其他元数据保存到文件中。这些元数据包括 KMS 加密密钥的 ARN、加密算法和加密时间等

这里有一点需要注意的是,这里AWS KMS并不是直接用来加密用户data字段,而是加密SOPS生成的key。

这样的设计有两方面的考虑,

  1. 加密性能

    AWS KMS 密钥(客户主密钥,CMK)主要用于小块数据的加密和解密操作。直接使用 KMS 密钥加密大量数据会很慢,因为每次加密或解密操作都需要一次到 KMS 的 API 调用,这样会导致性能瓶颈。

    而对称加密算法(如 AES)性能非常高,适用于大数据量的加密和解密操作。使用临时生成的 DEK 进行数据加密后,只有 DEK 需要通过 KMS 加密,从而极大提升性能。

  2. 安全性

    通过使用 KMS 密钥来加密 DEK,并使用 DEK 来加密实际数据,可以将数据加密操作和密钥管理操作分离。这样,主密钥管理和数据加密使用的是不同的密钥,有助于更好的安全控制。

3 使用SOPS

首先安装sops命令,

# Download the binary
curl -LO https://github.com/getsops/sops/releases/download/v
最低0.47元/天 解锁文章
Blue summer
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用GitOps管理k8s secret
gzhouc的专栏
10-03 230
目录1. 写在前面2. 管理Secret比较好的方式3. 结构3.1 目录结构3.2 Scaling4. 设置SOPS4.1 设置AWS4.2 AWS实例配置文件4.3 设置Flux5. 小结 1. 写在前面 原文链接 GitOps是伴随着云原生产生的一个新的概念,它的核心是以一种声明式的方式管理资源,表示当前的状态,让你在任何时候都能知道git中的情况,并将这种声明式的状态解析为集群。 我们在GitOps上犯的最大错误是结构。仓库的结构至关重要,你选择如何在公司里组织GitOps,将决定它的成败。 当你
k8s 就是这么简单!一文看懂其核心概念!
xmt1139057136的专栏
07-18 4165
引子上一篇讲了如何安装 K8s,并用 K8s 写了个hello,world来开了个头,这一次我们来了解下 K8s 的核心概念,K8s 的核心概念主要有:Pod、Node、Service 等...
关于 Kubernetes 的 Secret 并不安全这件事
easylife206的专栏
12-14 926
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !K8s 提供了 Secret 资源供我们来保存、设置一些敏感信息,比如 API endpoint 地址,各...
使用 Mozilla SOPS 加密您的 Kubernetes Secret
u012516914的专栏
08-08 517
默认情况下,Kubernetes Secret(机密信息)以 base64 编码存储在YAML文件中。因为信息缺乏加密通常会导致如何安全地存储秘密的问题。当然您也不想将敏感的配置数据放入 ...
【Kubernetes】k8s的devops功能说明和devops搭建配置详细说明
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-12 3985
文章目录环境准备devops配置流程所需镜像下载安装docker及其相关配置registry配置【构建】gitlab配置【推送】拉取镜像及部署设置gitlab的root密码并登陆创建一个项目并设置ssh秘钥全局变量设置克隆推送jenkins配置【编译】拉取镜像及部署配置jenkins插件【有外网的情况】第一次登陆jenkins配置配置jenkins插件【没有外网的情况】第一次登陆jenkins配置jenkins插件下载和导入插件下载地址插件打包导入【网上下载的jenkins包】安装docker插件离线安装报
加密 K8s Secrets 的几种方案
最新发布
east4ming的博客
09-18 463
你可能已经听过很多遍这个不算秘密的秘密了--Kubernetes Secrets 不是加密的!Secret 的值是存储在 etcd 中的base64 encoded(编码)字符串。这意味着,任何可以访问你的集群的人,都可以轻松解码你的敏感数据。任何人?是的,几乎任何人都可以,尤其是在集群的 RBAC 设置不正确的情况下。任何人都可以访问 API 或访问 etcd。
Kubernetes笔记(三):Gitlab+Jenkins Pipeline+Docker+k8s+Helm自动化部署实践(干货分享!)
keocce的博客
05-13 975
通过前面两篇文章,我们已经有了一个“嗷嗷待哺”的K8s集群环境,也对相关的概念与组件有了一个基本了解(前期对概念有个印象即可,因为只有实践了才能对其有深入理解,所谓“纸上得来终觉浅,绝知此事要躬行”),本文从实践角度介绍如何结合我们常用的Gitlab与Jenkins,通过K8s来实现项目的自动化部署,示例将包括基于SpringBoot的服务端项目与基于Vue.js的Web项目。 本文涉及到的工具与技术包括: Gitlab —— 常用的源代码管理系统 Jenkins, Jenkins Pipelin...
Kubernetes(k8s)核心知识点总结
Java搜索工程技术栈
06-06 726
上一篇讲了如何安装 K8s,并用 K8s 写了个hello,world来开了个头,这一次我们来了解下 K8s 的核心概念,K8s 的核心概念主要有:Pod、Node、Service 等,这些核心概念还有个高大上的名字叫做:资源对象,他们是通过 K8s 提供的 Kubectl 工具或者是 API 调用进行工作的,然后保存在 ectd 里;一图胜千言:K8S 的总体架构K8s 集群主要有两个节点组成,他们分别是:Master 和 Node。前者运行着四个组件:etcd、API Server、Controller
kubernetes常见异常处理
happy_king_zi的博客
02-21 915
kubernetes Pod异常状态的处理,网络问题,排查、定位思路
k8s-gitops:k8s GitOps回购,带有helmfile,kustomize和sops的秘密
02-17
K8s GitOps :notebook: 用法 输入部署文件夹,并使用环境(此仓库中的dev或nuc )执行helmfile... K8S Yaml文件的配置管理 使用PGP进行秘密管理 使用Helm文件根据环境部署自动化 使用kustomize作为Helm文件
terraform-provider-sops:Terraform提供程序,用于读取Mozilla的sops文件
05-01
使用Sops加密文件: sops demo-secret.enc.json { " password " : " foo " , " db " : { " password " : " bar " } } sops_file terraform { required_providers { sops = { source = " carlpett/sops " ...
SOPS:用于管理机密的简单灵活的工具-开源
08-07
sops 是加密文件的编辑器,支持 YAML、JSON、ENV、INI 和 BINARY 格式,并使用 AWS KMS、GCP KMS、Azure Key Vault、age 和 PGP 进行加密。 对于冒险的、不稳定的功能,您可以从源代码安装开发分支。 要将 sops 用作...
gorestapi:我的私人Go和K8s游乐场
03-31
使用Go和K8s部署编写的REST api:MetalLB负载平衡器,Prometheus,Haproxy,Postgres,Helm 3,Lens,Krew,RBAC,Auditing,Falco,SOPS,Flux v2和大量管理技巧。 K8s安装 这个K8s集群是我其他仓库中的Crio版本。...
template-cluster-k3s:用于创建具有k3sup的k3s集群的模板,其中k3sup由通量和抽头支持
04-16
SOPS秘密支持的用于部署k3和Flux...基于Git存储库管理k8s集群的操作员 0.12.3 :check_mark_button: SOPS 使用GnuPG加密k8s机密 3.7.1 :check_mark_button: 糖蛋白 加密和签名您的数据 2.2.27 :check_mark_button:
k8s使用本地镜像
热门推荐
Blue summer的博客
01-21 4万+
背景 在机器上使用Dockerfile,打包了自己的镜像,但是没有push到仓库里,想本地直接通过k8s测试一下,但是通过yaml文件创建rc后,一直显示镜像拉取错误。从describe的信息看,k8s一直从远端拉取。 [root@CentOS-7-2 /home/k8s]# kubectl describe pod myweb-2959s ...... 58s 25s 2 {kubele...
K8S集群搭建——基于CentOS 7系统
Blue summer的博客
05-15 2万+
环境准备 集群数量此次使用3台CentOS 7系列机器,分别为7.3,7.4,7.5 节点名称 节点IP master 192.168.0.100 node1 192.168.0.101 node2 192.168.0.102 主要事项 1、master节点安装etcd服务,作为k8s集群主数据库,保存所有资源的信息 2、所有节点安装k8s服务,针对master和nod...
使用helm部署ingress-nginx
Blue summer的博客
09-26 5882
使用helm安装ingress-nginx helm install stable/nginx-ingress --set controller.hostNetwork=true,rbac.create=true -n nginx-ingress --namespace ingress-nginx 安装后查看服务状态, [root@CentOS-7-4 /home/k8s]# kubectl g...
K8S Calico网络插件之BGP模式
Blue summer的博客
10-17 5384
注:本文基于K8S v1.21.2版本编写 1 切换到BGP模式 因为按照官网的配置文件部署calico时,默认使用的是IPIP模式,如果需要使用BGP模式,就要做一些修改。 主要有两种方式, 修改IPPool中的ipipMode为Never,也就是禁用IPIP模式 [root@master home]# kubectl edit ippool ipipMode: Never 也可以使用calicoctl或者kubectl命令修改, [root@master home]# kubectl get
SOPs = SOPs[np.argsort(cuts)]
06-07
这段代码使用了NumPy中的`argsort`函数。`argsort`函数返回的是数组值从小到大的索引值,因此`np.argsort(cuts)`返回的是`cuts`数组中值从小到大的索引值。 `SOPs`是一个NumPy数组,`np.argsort(cuts)`返回的索引值可以用来对`SOPs`数组进行排序。因此,这段代码的作用是将`SOPs`数组按照`cuts`数组的值的大小进行升序排列,并将排序后的数组存储在`SOPs`中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值