使用 Mozilla SOPS 加密您的 Kubernetes Secret

最新推荐文章于 2024-05-25 09:33:10 发布
最新推荐文章于 2024-05-25 09:33:10 发布
阅读量522 收藏 1
点赞数
文章标签: kubernetes docker etcd 数据安全 java
原文链接:https://www.thorsten-hans.com/encrypt-your-kubernetes-secrets-with-mozilla-sops/?utm_source=hs_email\x26amp;utm_medium=email\x26amp;_hsenc=p2ANqtz-8D9
版权

默认情况下,Kubernetes Secret(机密信息)以 base64 编码存储在YAML文件中。因为信息缺乏加密通常会导致如何安全地存储秘密的问题。当然您也不想将敏感的配置数据放入 git 存储库,因为它只是经过base64编码而已。

echo <base64_representation> | base64 -d.

一个典型的解决方案是使用Azure Key Vault或HashiCorp Vault 等服务来保留敏感数据。可以使用Secrets Store CIS 驱动程序将这些服务与 Kubernetes 集成。但是,依赖附加服务意味着除了 Kubernetes 之外,您还必须管理和维护该服务。此外,根据您用于存储敏感数据的服务,某些敏感配置必须存储在某处以配置 CIS 驱动程序。

作为替代方案,您可以使用Mozilla SOPS (SOPS)来加密和解密您的 Kubernetes 机密文件。通过 SOPS 加密的信息可以存储在源代码版本控制中。加密的信息将在部署到 Kubernetes 之前在本地解密。本文演示了如何将YAMLSOPS 与 Azure Key Vault 结合使用来加密和解密 Kubernetes 机密(文件),这允许您将信息与其他 Kubernetes 清单直接存储在 git 中。

什么是 Mozilla SOPS

Mozilla的标准操作程序(加解密操作)是一个与平台无关的CLI,用于不同格式的编辑加密的文件-包括yaml,json,ini,binary,和其它。SOPS 支持多个后端使用密钥进行加密和解密。以下是五个最受欢迎的支持场景:

  • PGP

  • Azure 密钥保管库

  • 知识管理系统

  • GCP知识管理系统

  • HashiCorp 金库

为了针对 Azure Key Vault 进行身份验证,SOPS 按以下顺序尝试多种身份验证模式:

  • 客户凭证

  • 客户证书

  • 用户名密码

  • 托管服务身份 (MSI)

  • Azure CLI 身份验证

尽管 Azure CLI 身份验证无障碍,但我建议您在本地开发机器上使用 Azure 服务主体 (SP)。要在 Kubernetes 中使用 SOPS 解密机密(例如,如果您使用 GitOps 运算符,例如 Flux),您应该考虑使用托管服务标识 (MSI) 和 Azure AD Pod 标识的组合。(有关详细的演练,请考虑官方全量文档https://www.thorsten-hans.com/encrypt-your-kubernetes-secrets-with-mozilla-sops/?utm_source=hs_email&utm_medium=email&_hsenc=p2ANqtz-8D9JEMI3MsO2qdM0KGA0m3685hu1H0RBcgBj6rDozFznQ7_Ra-tmzdJYwuE7Hf2TfjXwqk#:~:text=flux%20documentation%20for%20a%20detailed%20walk-through)。

预配 Azure 服务主体 (SP)

若要创建新的 Azure SP,请使用以下命令:

# create a service principal
az ad sp create-for-rbac -n sp-sops-keyvault -o json
# {
#   "appId": "00000000-0000-0000-000000000000",
#   "displayName": "http://sp-sops-keyvault",
#   "name": "http://sp-sops-keyvault",
#   "password": "00000000-0000-0000-000000000000",
#   "tenant": "<your_tenant_identifier>
# }

SOPS(以及一些即将推出的命令)需要存储在环境变量中的进行身份验证。也就是说,您可以使用以下命令快速将appId、tenant和存储password在本地环境变量中export:

export AZURE_CLIENT_ID=<appId>
export AZURE_CLIENT_SECRET=<password>
export AZURE_TENANT_ID=<tenant>

如果您想将 SOPS 集成到您的 CI 管道中,请考虑使用存储库机密(这是在 GitHub 上下文中调用敏感配置数据的方式)或有竞争力的解决方案来处理您的 CI 系统中的敏感数据。

预配 Azure Key Vault 实例

你需要一个 Azure Key Vault 实例。使用 Azure CLI 预配新的 Azure Key Vault 非常简单,如以下代码段所示:

# create a new Resource Group
az group create -n rg-sops-sample -l germanywestcentral

# create a Key Vault instance
az keyvault create -n kv-sops-sample \
   -g rg-sops-sample \
   -l germanywestcentral 

# create an access policy for the SP
az keyvault set-policy -n kv-sops-sample \
   -g rg-sops-sample \
   --spn $AZURE_CLIENT_ID \
   --key-permissions encrypt decrypt

在 Azure Key Vault 中创建用于加密和解密的密钥

此时,您必须在我们新创建的 Azure Key Vault 实例中创建用于加密和解密的实际密钥:

# create an key for encryption / decryption 
az keyvault key create -n sops-sample-key \
    --vault-name kv-sops-sample \
    --ops encrypt decrypt \
    --protection software

除了身份验证信息,SOPS 还需要我们刚刚创建的密钥的标识符。同样,使用 Azure CLI 并将标识符存储在环境变量中:

# read and store key identifier
export KEY_ID=$(az keyvault key show -n sops-sample-key \
    --vault-name kv-sops-sample \
    --query key.kid -o tsv)

安装 Mozilla SOPS

如前所述,SOPS 是一个跨平台的 CLI。您可以从 GitHub 下载 CLI,网址为https://github.com/mozilla/sops/releases。确保可执行文件作为PATH变量的一部分放在文件夹中。

# download sops cli for macOS
curl -O -L -C - https://github.com/mozilla/sops/releases/download/v3.7.1/sops-v3.7.1.darwin

# move and rename the cli to /usr/bin
sudo mv sops-v3.7.1.darwin /usr/bin/sops

# make it executable
sudo chmod +x /usr/bin/sops

# latest macOS may prevent you from using SOPS CLI
# use System Preferences > Security & Privacy to whitelist SOPS

加密 Kubernetes Secret

首先,使用kubectl以下命令创建一个常规的 Kubernetes 密钥:

# create the Kubernetes secret
kubectl create secret generic demo \
    --from-literal mysecret=secret_value \
    -o yaml \
    --dry-run=client > secret.encoded.yml

# print the contents of secret.encoded.yml
cat secret.encoded.yml

# apiVersion: v1
# data:
#   mysecret: c2VjcmV0X3ZhbHVl
# kind: Secret
# metadata:
#   creationTimestamp: null
#   name: demo

如您所见,密钥存储在其base64表示中。现在,使用 SOPS CLI 创建密钥的加密变体。特别是在考虑在 Flux 中解密机密时,请确保您提供--encrypted-regex参数并将加密限制为仅存储在data和 中的值stringData。

# encrypt secret.encoded.yml using SOPS
sops --encrypt --encrypted-regex '^(data|stringData)$' \
    --azure-kv $KEY_ID secret.encoded.yml > secret.encrypted.yml

# print the contents of secret.encrypted.yml
cat secret.encrypted.yml

# apiVersion: v1
# data:
#    mysecret: ENC[AES256_GCM,data:gz/WAjWte3bCnNm6e+G4ow==,iv:VB4pAv833tDdD4n76h4CqEZNpGdwA3V1QGWp7PK/Jfc=,tag:CcUy3rti4XcWArmHANVS8Q==,type:str]
# kind: Secret
# metadata:
#     creationTimestamp: null
#     name: demo
# sops:
#     kms: []
#     gcp_kms: []
#     azure_kv:
#         - vault_url: https://kv-sops-sample.vault.azure.net
#           name: sops-sample-key
#           version: ee44c0c0cc9e4620aa4f4c86c4942047
#           created_at: "2021-08-02T20:55:40Z"
#           enc: EjszDACgiDP8rW3wzs-7fAmFzlAhCq0-R9YlA9cuPcq78EXEeNTC8OnlSdXQAGdGrgE9oylu1HKZa4RB9GxzzVDav8uNVPp67NPmC4-teeA5iRE4jqlp1An6sG6CpkZGcAmKWpfj_DEWecqrNGWSLTA2hI_HKwG5xNkFh9Myik6732W-XL65IFqgepcFrNIzeHetznO0j1iISNXqMeJjeCnZ6Qq0jcXUMIfQnXjAllKfjSukiT3A3GlWxP0j50Z328t-JHi5RowYHT-hC8FDOdR_U95sqnFd27RgEXmbDIU6IGvP3vmCiZJz4YQCPXaGhySvFY6qCEoCbCSC4RaoWw
#     hc_vault: []
#     age: []
#     lastmodified: "2021-08-02T20:55:41Z"
#     mac: ENC[AES256_GCM,data:AmKRnzoImfIzPa3JBcuxUKRrse5uZwJGukpLj1wxed3R7lsUN+QAV1+WkfNyeMoW5C3ek7j20Xpbvzi+MgP8zcQOwWSwA79Svgz3hKMn9eTRTfgU+4jYezIIHCwkv61MTN8RGW5AhOInYP8oRPW3zKD+SbBO/Jeu7SC+/oVn07I=,iv:S4Th+0quL84lhJtA/lugEv+iLc+WhWEYPSlXGWKhd/M=,tag:CUGg8+UM7gNSzfjJx1Ua1w==,type:str]
#     pgp: []
#     encrypted_regex: ^(data|stringData)$
#     version: 3.7.1

默认情况下,信息的加密版本包含有关 Azure Key Vault 以及用于加密和解密的密钥的基本信息。此信息使解密变得容易,您将在几分钟后看到。但是,您也可以提供自定义.sops.yaml配置文件以从实际机密文件中删除此元数据。此时,您可以删除密钥的编码版本,并使用以下命令将加密版本添加到 git:

# delete encoded version of the secret
rm secret.encoded.yml

# add encrypted secret to source control and commit it
git add secret.encrypted.yml
git commit -m 'chore: add encrypted secret'

解密 Kubernetes Secrets 以进行部署

要将密钥部署到 Kubernetes,您必须对其进行解密。同样,SOPS CLI 可以提供帮助。解密后的密钥可以直接通过管道传输到kubectl部署,如以下代码段所示:

# decrypt and deploy the secret
sops --decrypt secret.encrypted.yml | kubectl apply -f -

将密码回显服务器部署到 Kubernetes

将机密信息存储在 Kubernetes 中,您可以配置 echo 容器,它将通过HTTP. 注意envFrom清单的一部分。先前创建的机密信息填充到环境变量:

apiVersion: v1
kind: Pod
metadata:
  name: echo
  labels:
    app: echo
spec:
    containers:
    - image: thorstenhans/env-via-http:0.0.1
      name: main
      ports:
        - containerPort: 5000
          protocol: TCP
      envFrom:
        - secretRef:
            name: demo
            optional: true
      resources:
        requests:
          cpu: 50m
          memory: 32Mi
        limits:
          cpu: 100m
          memory: 48Mi 

部署后,使用简单的端口转发并curl验证部署:

# deploy the sample pod 
kubectl apply -f pod.yml

# verify pod is running
kubectl get po
#
# NAME                    READY   STATUS    RESTARTS   AGE
# echo-74bc9c6d74-vh5lr   1/1     Running   0          4m38s

# activate port forwarding
kubectl port-forward echo-74bc9c6d74-vh5lr --port 8080:5000
#
# Forwarding from 127.0.0.1:8080 -> 5000
# Forwarding from [::1]:8080 -> 5000

# start a new terminal session
# issue an HTTP request to the echo pod with curl
curl http://localhost:8080 | jq

您应该获得一个JSON包含 Pod 内所有可用环境变量的对象,包括mysecret解密值为的环境变量secret_value。

{
  "hostName": "echo-74bc9c6d74-vh5lr",
  "envVars": [
    "KUBERNETES_SERVICE_PORT=443",
    "KUBERNETES_PORT=tcp://10.0.0.1:443",
    "HOSTNAME=echo-74bc9c6d74-vh5lr",
    "SHLVL=1",
    "PORT=5000",
    "HOME=/root",
    "mysecret=secret_value",
    "KUBERNETES_PORT_443_TCP_ADDR=10.0.0.1",
    "PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
    "KUBERNETES_PORT_443_TCP_PORT=443",
    "KUBERNETES_PORT_443_TCP_PROTO=tcp",
    "KUBERNETES_SERVICE_PORT_HTTPS=443",
    "KUBERNETES_PORT_443_TCP=tcp://10.0.0.1:443",
    "KUBERNETES_SERVICE_HOST=10.0.0.1",
    "PWD=/"
  ]
}

结论

能够在源代码控制中安全地存储机密信息非常好。SOPS 使加密和解密秘密的过程变得轻松。与 Azure Key Vault 等服务的无缝集成非常棒。团队会发现这种方法非常有用,尤其是在从传统持续部署过渡到GitOps 期间。还值得一提的是,SOPS 与Flux无缝集成,Flux是基于 GitOps Toolkit 的最流行的持续交付解决方案之一。

推荐

深入探究 K8S ConfigMap 和 Secret

Kubernetes入门培训(内含PPT)

Spring_java_gg
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sops-decrypt:GitHub动作来解密sops加密文件
03-16
SOPS解密动作 GitHub动作,可用于解密SOPS加密文件。 输入项 version 必须用于解密文件的SOPS二进制文件的必需版本 file 必须解密SOPS加密文件的相对路径 gpg_key 必需的可以对文件进行解密的Base64编码的专用GPG密钥 output_type 默认值:json 解密后的机密应转换为的格式。 支持的格式为json , yaml , dotenv 。 产出 data 选定格式的解密数据 用法示例 jobs : decrypt-secrets : runs-on : ubuntu steps : - uses : metro-digital/sops-decrypt with : version : ' 3.6.1 ' file : ' ci/secre
JAVA加密解密
D_A_I_H_A_O的博客
03-01 1602
Base64 编码会将字符串编码得到一个含有 A-Za-z0-9+/ 的字符串。标准的 Base64 并不适合直接放在URL里传输,因为URL编码器会把标准 Base64 中的“/”和“+”字符变为形如 “%XX” 的形式,而这些 “%” 号在存入数据库时还需要再进行转换,因为 ANSI SQL 中已将“%”号用作通配符。
DevOps - (3)使用SOPS 和Terraform来加密/解密敏感信息文件
xcswswswws的博客
05-31 897
每个人都想将自己的敏感数据以加密格式存储在一个安全的地方。例如我们的数据库的账号密码,不能以纯文本的方式来记录。让我们利用Mozilla SOPS以一种安全的方式实现它。SOPS支持将文件加密为二进制文件,除此之外,它还具有只加密配置文件值的特性,只要它们是正确的格式,如JSON、YAML、.env或.ini。SOPS是一个加密文件编辑器,支持YAML, JSON, ENV, INI和BINARY格式,并可以通过AWS KMS, GCP KMS, Azure密钥库、PGP、age等加密
探索高效安全的秘钥管理:SOPS Secrets OPerationS 开源项目解析与应用
最新发布
gitblog_00062的博客
05-25 343
探索高效安全的秘钥管理:SOPS Secrets OPerationS 开源项目解析与应用 项目地址:https://gitcode.com/isindir/sops-secrets-operator 在现代云原生环境中,安全管理尤其是秘钥管理是至关重要的。SOPSSecrets OPerationS)是一个出色的Kubernetes Operator,它能帮助您轻松管理和加密敏感数据。让我们深...
terraform-provider-sops:Terraform提供程序,用于读取Mozillasops文件
05-01
使用Sops加密文件: sops demo-secret.enc.json { " password " : " foo " , " db " : { " password " : " bar " } } sops_file terraform { required_providers { sops = { source = " carlpett/sops " ...
kubernetes-homelab:我的Kubernetes homelab配置
02-20
-Sops加密文件的编辑器 与OpenPGP兼容的免费加密软件 材料清单 物品 描述 数量 单价 总价 标题 4 59.98 $ 239.92 文本 2 13.99 $ 27.98 文本 1个 24.99 $ 24.99 文本 1个 25.99 $ 25.99 文本 2 9.99 $ ...
sops_gpg_tutorial:将SOPS与GPG一起使用的入门指南
03-11
使用PGP设置SOPSSOPS与GPG一起使用的入门指南 Quick'n Easy GPG速查表 如果找到此页面,则希望它是您想要的。 这只是gnu隐私卫士(gpg)中某些命令行功能的简要说明。 文件名以斜体显示(松散的,有些不是,...
selfhost-services:我在家的Kubernetes集群的配置
02-18
用于配置/秘密.yaml解密SOPS设置 安装肥皂参见 从备份存储中获取PGP密钥 使用gpg --import导入 将SOPS_PGP_FP设置为密钥指纹 解密回购中的所有机密: 运行find . -type f -name '*.yaml' -exec sops --decrypt --...
terraform-sops-demo:我在DevOps Boulder上发表演讲的一个简单示例,介绍了Terraform中的mozillasops和用法
04-18
terraform-sops-demo Terraform中的及其用法的简单演示。 这是我在4/19/21举行上的简短演讲。 。 运行此代码... 你不能不幸 :beaming_face_with_smiling_eyes: 。 利用sops获取我们存储在secrets.yaml的“秘密”值的全部要点是,您需要有权访问我的AWS账户的KMS密钥才能解密这些秘密。 因此,如果您尝试在本项目中运行terraform plan ,则sops提供程序( )将失败,因为它无法解密这些秘密值。 如果您想尝试,那么我们将不胜感激! 您需要执行以下操作: 从本地工作目录中删除secrets.yaml文件 利用使用您自己的AWS KMS密钥或PGP密钥创建一个新的密钥: sops --kms arn:aws:kms: < REGION> : < ACCOUNT> :key/ < KMS> secrets.yaml 运行terr
SOPS:用于管理机密的简单灵活的工具-开源
08-07
sops加密文件的编辑器,支持 YAML、JSON、ENV、INI 和 BINARY 格式,并使用 AWS KMS、GCP KMS、Azure Key Vault、age 和 PGP 进行加密。 对于冒险的、不稳定的功能,您可以从源代码安装开发分支。 要将 sops 用作库,请查看解密包。 我们在 Go 中重写了 Sops 来解决一些部署问题,但是 Python 分支仍然存在于 python-sops 下。 我们会继续维护一段时间,您仍然可以 pip install sops,但我们强烈建议您改用 Go 版本。 如果您使用 AWS KMS,请在 IAM 控制台中创建一个或多个主密钥,并将它们以逗号分隔的形式导出到 SOPS_KMS_ARN 环境变量中。 建议在不同地区至少使用两个主密钥。 如果要使用 PGP,请在 SOPS_PGP_FP 环境变量中导出公钥的指纹(以逗号分隔)。
使用SOPS和git钩子共享秘密-第2部分
weixin_26722031的博客
08-01 342
到目前为止我们所做的 (What we have done so far) In part 1, we have set up our repository to use Mozilla SOPS to encrypt secret files before commit. But the encryption/decryption process still relies on human i...
从Jenkins迁移到Jenkins X:一场持续交付之旅\n
cpongo011702
09-21 315
这篇文章将介绍dailymotion(一家总部位于巴黎的视频分享网站)从Jenkins迁移到Jenkins X的故事,包括我们遇到的问题以及我们如何解决它们。背景在dailymotion,我们信奉DevOps最佳实践,并且重度使用Kubernetes。我们的部分产品(并非全部)已经部署在Kubernetes上。在迁移我们的广告技术平台时,为了赶时髦(作者你这么直白的吗?)我们希望完全采用“Kub...
使用甲壳素的声明式秘密管理
weixin_26739079的博客
10-12 339
In this post I would like to compare different ways to manage secrets in code, especially relevant to Kubernetes but also in general with a more broad reach.在这篇文章中,我想比较一下管理代码秘密的不同方法,特别是与Kubernetes有关的方...
sops的配置过程
weixin_30565327的博客
08-23 216
0.demo关键 1.关键信息,不能用5.1.6版本的,还有很多坑 蓝鲸版本:4.1.6 标准运维:bk_sops_V3.1.39.tar 2.简单理解: 标准运维实际上调用作业平台job的API去执行 要跑通标准运维,可以先在job上跑通,比如设置在远程服务器执行的用户 3.参考官方文档:https://docs.bk.tencent.com/bkc...
sop linux命令,linux系统命令配置文件
weixin_35792040的博客
05-05 230
按年代来讲,这是 UNIX 中第一个配置文件。在一台 UNIX 机器打开之后启动的第一个程序是 init,它知道该启动什么,这是由于 inittab 的存在。在运行级别改变时,init 读取 inittab,然后控制主进程的启动。1.文件格式init进程将查看此文件来启动子进程,完成系统引导./etc/inittab描述了一个进程是在系统引导时起动还是在系统引导完成后的某个情形下起动.他也是由一行...
k8s私有镜像仓库secret创建
司隶校尉博客
07-07 3739
一、 opaque类型的secret k8s常见常用的secret 类型opaque,通过base64 decode解码获得秘钥信息,安全性这块较弱,创建例子如下: apiVersion: v1 kind: Secret metadata: name: secret_userinfo type: Opaque data: name: 5bCP5piO age: Ng== 创建的secret的使用方法有挂载和环境变量两种,以下只介绍在环境变量中的使用方法: env: - name:
使用Kubernetes两年来的经验教训
Docker的专栏
07-07 448
点击下方图片可了解Kubernetes培训详情。在Ridecell公司管理基础设施团队几年后,我想在停下来休息时记录下我的一些想法和经验教训。Kubernetes不仅仅是炒作我在Kube...
SOPs = SOPs[np.argsort(cuts)]
06-07
这段代码使用了NumPy中的`argsort`函数。`argsort`函数返回的是数组值从小到大的索引值,因此`np.argsort(cuts)`返回的是`cuts`数组中值从小到大的索引值。 `SOPs`是一个NumPy数组,`np.argsort(cuts)`返回的索引值可以用来对`SOPs`数组进行排序。因此,这段代码的作用是将`SOPs`数组按照`cuts`数组的值的大小进行升序排列,并将排序后的数组存储在`SOPs`中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值