OpenShift 4 - 在 GitOps 中使用 SealedSecret 保护敏感数据

已于 2024-04-07 08:11:33 修改
阅读量428 收藏
点赞数
分类专栏: OpenShift 4 安全 secret 文章标签: openshift kubernetes DevSecOps 安全
于 2022-10-09 15:09:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/126960456
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 77 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
secret
7 篇文章 0 订阅
订阅专栏

OpenShift / RHEL / DevSecOps 汇总目录
文本已在 OpenShift 4.15 环境中进行验证。

为什么在 GitOps 过程中要保护 Secret 中的敏感数据

在 Kubernetes 或 OpenShift 环境中通常使用 Secret 类型对象保存用户和密码等敏感信息。虽然 Secret 会使用 Base64 对明文数据进行加密保存,但是这还不够安全。尤其是在基于 GitOps 的自动化部署过程中,保存这些敏感数据的 Secret 就放在可能任何人都可以访问的 Git Repository 中,因此就需要保护在 GitOps 过程中使用的 Secret 敏感数据。

SealedSecret 工作原理

kubeseal 运行包括两部分:部署在 OpenShift 中的 SealedSecretController,以及客户端 kubeseal 命令。使用过程大致如下:

  1. 通过 kubeseal 命令并使用 OpenShift 认可的公钥对 Secret 中的敏感数据进行加密,生成 SealedSecret 类型 YAML。加密后的 SealedSecret YAML 文件就可以放心存放在 Git Repository 中了。
  2. 在 GipOps 过程中首先 SealedSecret 对象会被部署在 OpenShift 项目中,然后 SealedSecretController 会根据 SealedSecret 对象以及系统私钥生成 Secret 对象。
    在这里插入图片描述

安装 SealedSecret 环境

安装 SealedSecret 客户端

运行命令安装客户端

$ VERSION=0.26.2
$ curl -L https://github.com/bitnami-labs/sealed-secrets/releases/download/v${VERSION}/kubeseal-${VERSION}-linux-amd64.tar.gz | tar xvz -C ./
$ sudo install -m 755 kubeseal /usr/local/bin/kubeseal

安装 SealedSecret 服务端

  1. 执行命令,在 kube-system 项目中部署 sealed-secrets-controller。
$ oc apply -f https://github.com/bitnami-labs/sealed-secrets/releases/download/v${VERSION}/controller.yaml
  1. 确认 sealed-secrets-controller 已经部署成功。
$ oc get deploy -n kube-system sealed-secrets-controller
NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
sealed-secrets-controller   1/1     1            1           2m
  1. 查看 sealed-secrets-controller 的运行日志,确认 sealed-secrets-controller 创建了 kube-system/sealed-secrets-keyXXXXX 证书。
$ oc logs -n kube-system deploy/sealed-secrets-controller
controller version: 0.18.2
2022/09/21 03:02:28 Starting sealed-secrets controller version: 0.18.2
2022/09/21 03:02:28 Searching for existing private keys
2022/09/21 03:02:32 New key written to kube-system/sealed-secrets-keyzbk87
2022/09/21 03:02:32 Certificate is
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 
2022/09/21 03:02:32 HTTP server serving on :8080
  1. 查看 sealed-secrets-keyzbk87 中包含的秘钥内容。
$ oc get secret -n  kube-system sealed-secrets-keyzbk87 -oyaml
  1. 执行命令可将公钥证书下载到本地(确认其内容和上面日志中的证书相同),以便在 kubeseal 无法访问 OpenShift 时使用。
$ kubeseal --fetch-cert > my-pub-cert.pem
$ cat my-pub-cert.pem
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

验证

  1. 创建测试项目
$ oc new-project mysecret
  1. 执行命令生成定义 Secret 的 YAML 格式定义文件,其中包含 username 和 password 两个敏感数据。
$ oc create secret generic db-secret --from-literal=username=admin --from-literal=password='password' --dry-run=client -o yaml > db-secret.yaml
  1. 根据 Secret 对象生成 SealedSecret 对象定义文件
$ kubeseal < db-secret.yaml > db-sealedsecret.yaml
  1. 如果 kubeseal 无法访问到 OpenShift,可执行以下命令生成 SealedSecret 对象定义文件
$ kubeseal --format=yaml --cert=my-pub-cert.pem < db-secret.yaml > db-sealedsecret.yaml
  1. 根据 YAML 文件创建 SealedSecret 对象。
$ oc create -f db-sealedsecret.yaml
  1. 确认 SealedSecret 和 Secret 对象都创建成功。
$ oc get sealedsecret db-secret
NAME        AGE
db-secret   2m40s
 
$ oc get secret db-secret
NAME        TYPE     DATA   AGE
db-secret   Opaque   2      2m9s
  1. 确认 sealed-secrets-controller 日志中有 SealedSecret unsealed successfully 提示。
$ oc logs -n kube-system deploy/sealed-secrets-controller
2022/09/21 07:02:23 Updating mysecret/db-secret
2022/09/21 07:02:23 Event(v1.ObjectReference{Kind:"SealedSecret", Namespace:"mysecret", Name:"db-secret", UID:"4a7096f1-0c80-4098-a8ce-8c7da5ab9bf0", APIVersion:"bitnami.com/v1alpha1", ResourceVersion:"521438", FieldPath:""}): type: 'Normal' reason: 'Unsealed' SealedSecret unsealed successfully
  1. 执行命令,查看创建的 db-secret 对象中 username 和 password 内容正确。
$ oc get secret db-secret -o jsonpath='{.data.username}' | base64 -d
$ oc get secret db-secret -o jsonpath='{.data.password}' | base64 -d

其他

另外
https://cloud.redhat.com/blog/a-guide-to-secrets-management-with-gitops-and-kubernetes

参考

https://cloud.redhat.com/blog/gitops-secret-management
https://cloud.redhat.com/blog/integrating-hashicorp-vault-in-openshift-4
https://blog.stderr.at/openshift/2021-09-25-sealed_secrets/
https://medium.com/@jerome_tarte/managing-your-sensitive-information-during-gitops-process-with-secret-sealed-27498c77e2b8

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sealed-secrets, 一种Kubernetes控制器和一种加密密钥.zip
10-09
sealed-secrets, 一种Kubernetes控制器和一种加密密钥 用于Kubernetes的"密封的机密" 我能在git管理所有的K8s配置,除了秘密。"解决方案: 将秘密加密到一个SealedSecret,这对存储- 甚至是一个存储库来说是安全的。 在目标集群运行的控制器只能解密 Se
Kubernetes安全秘钥管理:Sealed Secrets
最新发布
gitblog_00057的博客
05-11 263
Kubernetes安全秘钥管理:Sealed Secrets 项目地址:https://gitcode.com/bitnami-labs/sealed-secrets 在Kubernetes环境,数据安全尤其重要,尤其是敏感的Secret资源。Sealed Secrets是一个创新的解决方案,旨在解决如何安全地存储和管理这些秘钥的问题。该项目通过提供一种加密方法,使得即使秘钥存储在公共仓库...
Kubernetes 通过 Sealed Secrets 实现加密部署
engchina的专栏
01-29 701
Kubernetes 通过 Sealed Secrets 实现加密部署
sealed-secrets
03-10
密封的秘密
openshift-gitops
03-25
openshift机器人
GitOps-OpenShift-example:GitOps OpenShift演示
04-06
GitOps-OpenShift-示例GitOps OpenShift演示
openshift-gitops-getting-started:https://www.openshift.comlearntopicsgitops
03-04
OpenShift GitOps入门 OpenShift GitOpsOpenShift的一个附加组件,它提供Argo CD和其他工具,使团队能够实施GitOps工作流以进行集群... 一旦安装了OpenShift GitOps,Argo CD的实例就会自动安装在群集openshift-
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM创建所有SRV,A和PTR...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
openshift-gitops-rhacm:使用RHACM和Argo CD管理OpenShift集群的示例
03-15
(以前称为GoDaddy外部机密) 从HashiCorp Vault或其他来源获取机密数据,并使用该机密数据在集群上创建Kubernetes Secrets。 使用GitOps方法管理集群 目录结构 该存储库由几个顶级目录组成: bootstrap目录包含应...
sealed-secrets-web:Web界面,用于Bitnami的Sealed Secrets
05-12
Bitnami的的Web界面。 Sealed Secrets Web是Bitnami的的Web界面。 Web界面使您可以编码,解密密钥的data字段的密钥,加载现有的“密封的秘密”并创建“密封的秘密”。 它在使用命令行工具来加密您的秘密。 Web界面应安装到您的Kubernetes集群,因此您的开发人员不需要通过kubectl访问您的集群。 编码: Base64以秘密方式对data字段的每个密钥进行编码。 解码: Base64秘密解密data字段的每个密钥。 机密:返回所有名称空间所有密封机密的列表。 单击“密封的机密”,将加载解密的Kubernetes机密。 密封:加密Kubernetes机密并创建密封的机密。 安装 可以通过我们的Helm图表安装sealed-secrets-web : helm repo add ricoberger https://ricoberg
k8s-gitops:通过代码定义kubernetes集群状态的GitOps原理
02-15
我的家庭Kubernetes集群由GitOps管理 ...由Flux管理,并由RenovateBot提供服务 :robot: :waving_hand: 概述 欢迎来到我的家庭Kubernetes集群。 很好玩(至少对我来说 :winking_face: )的内容,在我的目录戳一下,看看我的集群正在运行什么。 随意打开 。 :gear: 软件 所有节点都在Ubuntu Server 20.04上裸机运行。 我的节点是使用Ansible星系角色ansible 。 ,将更新应用于k3s。 通过扫描我的仓库并在发现新的容器映像更新时打开拉取请求来使我的应用程序保持最新。 动态地操作一组自托管的Github运行程序。 :file_cabinet: 硬件 该群集在以下硬件上运行: 设备 操作系统磁盘大小 资料磁碟大小 内存 目的 联想ThinkCentre M93p Tiny(i5-4570T) 250GB SSD 不适用 8GB k3s大师 英特尔NUC8i5BE
openshift gitops 实践
爱死亡机器人
03-09 409
介绍 GitOps是一种为云本地应用程序实现持续部署的声明性方法。您可以使用GitOps创建可重复的过程,管理Red Hat®OpenShift®容器平台集群和跨多集群Kubernetes环境的应用程序。GitOps可以快速地处理和自动化复杂的部署,从而在部署和发布周期节省时间。 在本实验室,您将部署 GitOps operator并使用它将 Coffee Shop 应用程序部署到 prod-coffeeshop 命名空间。 Coffee Shop 应用程序作为 YAML 清单和 Kustomize
OpenShift 4 之 GitOps(5)用ArgoCD配置其他OpenShift资源
多恩斯基的博客
03-06 438
文章目录创建用户设置Build的全局属性设置Import Image的全局属性设置OpenShift Console控制台属性安装一个Operator 创建用户 创建一个OpenShift用户:user1,登录密码:MyPassword! $ argocd app create htpasswd-oauth --repo https://github.com/liuxiaoyu-git/ope...
红帽通过 OpenShift GitOpsOpenShift Pipelines使 DevOps 成为现实
DevOps持续集成的博客
06-17 313
全球领先的开源解决方案提供商 Red Hat, Inc. 宣布 OpenShift GitOpsOpenShift Pipelines 全面上市,这是行业领先的企业 Kubernet...
OpenShift 4 之 GitOps(1)通过OpenShift GitOps Operator 安装 ArgoCD
多恩斯基的博客
02-28 740
说明:本文已经 在OpenShift 4.15。
C#sealed关键字
浮生若梦 为欢几何
10-09 9514
sealed关键字用法概括
openshift internal-registry 切换 sc
05-25
2. 在输出找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值