在K8S中,如何安全管理Secrets?

最新推荐文章于 2024-07-23 16:22:11 发布
最新推荐文章于 2024-07-23 16:22:11 发布
阅读量704 收藏
点赞数 1
文章标签: 安全 kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zybb166/article/details/122432052
版权
本文详细介绍了在Kubernetes中对Secrets进行加密的必要性和方法,包括静态加密和使用KMS插件如阿里云KMS进行动态加密,确保集群中的敏感数据安全。
摘要由CSDN通过智能技术生成

为何要加密?

在Kubernetes中,Secret是用来帮我们存储敏感信息的,比如密码、证书等,但是在默认的情况下,Secret只是做了简单的base64编码,任何人都可以非常容易的对其进行解密获取到原始数据。

比如通过以下方法生成一个secret对象:

$ echo -n "coolops" | kubectl create secret generic mysecret --dry-run --from-file=secret=/dev/stdin -o yaml > secret.yaml
$ cat secret.yaml 
apiVersion: v1
data:
  secret: Y29vbG9wcw==
kind: Secret
metadata:
  creationTimestamp: null
  name: mysecret

复制代码

其他人只要拿到secret的值,就可以对其进行解密获取到真实数据,如下:

$ echo "Y29vbG9wcw==" | base64 -d
coolops

复制代码

这样就非常的不安全,有点"掩耳盗铃"的意思。

在Kubernetes集群中,Etcd是集群数据库,存储着集群所以的资源数据,其中也包括Secrets,所以拿下了这个数据库就等于拿下了整个集群,所以在生产环境中对其进行加密是非常有必要的。

如何进行加密?

静态加密

kubernetes 1.13版本之后,提供静态加密方式,其主要是通过kube-apiserver来控制Secrets的加解密,而在Etcd中存储的是加密后的信息,所以攻击者拿下了etcd,也无法轻易的拿到Secrets保存的敏感数据。

!! 当前集群是使用kubeadm安装,版本1.18.9

(1)创建加密配置文件,保存到master节点/etc/kubernetes/pki/static-secret-encryption.yaml中

apiVersion: apiserver.config.k8s.io/v1
kind: EncryptionConfiguration
resources:
  - resources:
    - secrets
    providers:
    - aescbc:
        keys:
        - name: mysecret
          secret: DJqYaMMpY2DNlHz+HYrFYOUSh5SXKWiVOwLf6nQX9ss=
    - identity: {}

复制代码

其中secret是加密密钥,使用如下命令生成:

$ head -c 32 /dev/urandom | base64

复制代码

(2)修改kube-apiserver启动参数,位置/etc/kubernetes/manifests/kube-apiserver.yaml

......
spec:
  containers:
  - command:
    - kube-apiserver
    - --encryption-provider-config=/etc/kubernetes/pki/static-secret-encryption.yaml
......    

复制代码

!! 注意:kube-apiserver的加密参数,在1.14之后是--encryption-provider-config

(3)重启kube-apiserver

(4)验证加密

首先创建一个secr

最低0.47元/天 解锁文章
阿伦Java
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8s(二十一):在 Kubernetes 集群部署 MySQL8.0 高可用集群(1主2从)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-16 1万+
🔴 K8s(二十一):在 Kubernetes 集群部署 MySQL8.0 高可用集群(1主2从)
K8SSecret
huangbaokang的博客
11-24 308
在linux,我们可以对字符进行base64加密 echo -n "admin" | base64 我们准备secret.yaml文件 apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm 我们起名叫mysecret 创建pod kubectl create -f secret.yaml 进行查看 se
k8s---Secret详解
最新发布
qinxue722的博客
07-23 1102
k8s-Secret
(八)k8s安全
卷心菜投手
01-14 995
k8s安全
多种方案图文并茂分分钟教你解决Kubernetesk8s)容器安全问题(不断更新
tangdou369098655的博客
06-17 1089
KubernetessecurityContext是一个非常重要的概念,用于设定Pod或容器级别的安全选项。它允许你控制容器的运行权限、用户标识、SELinux选项等,从而增强容器的安全性。
kubernetes secret加密设置
u010519674的专栏
08-01 1632
使用 secret 对k8s 敏感设置
K8S Secret管理之SealedSecrets
Blue summer的博客
05-20 874
我们通常将应用程序使用的密码、API密钥保存在K8S Secret,然后应用去引用。对于这些敏感信息,安全性是至关重要的,而传统的存储方式可能会导致密钥在存储、传输或使用过程受到威胁,例如在git明文存储密码或在配置文件以明文形式存放密码。
k8ssecret里导入证书_在阿里云K8S的如何管理TLS证书?
weixin_35063366的博客
12-31 539
本文介绍几种在阿里云K8S管理TLS证书的方案。证书申请方案先看如何申请证书。cert-managercert-manager是一个集成在k8s的工具,它可以做到自动从Let's encrypt申请证书、自动更新证书、与Ingress无缝结合。大多数情况下建议与Ingress集成的方式使用它,后面会讲。如果你仅需要签发功能,不需要和Ingress集成,则可参考Setting up Issuer...
k8s-test_java和k8s_k8s环境日常_k8s_
09-30
在IT行业Kubernetes(简称K8s)已经成为容器编排和管理的首选平台,而Java作为广泛应用的编程语言,其在K8s环境的应用是企业级微服务架构的关键部分。本文将深入探讨如何利用Java进行K8s环境的日常操作与运维...
sealed-secrets, 一种Kubernetes控制器和一种加密密钥.zip
09-17
sealed-secrets, 一种Kubernetes控制器和一种加密密钥 用于Kubernetes的"密封的机密" 我能在git管理所有的K8s配置,除了秘密。"解决方案: 将秘密加密到一个SealedSecret,这对存储- 甚至是一个存储库来说是安全的。 在目标集群运行的控制器只能解密 Se
kubeseal-web:另一个使用 Sealed Secrets 保护 Kubernetes 机密的 Web UI
05-29
kubeseal-web :locked_with_key: 另一个使用保护 Kubernetes 机密的 Web UI。 这仍在开发。 它有效,但使用风险自负。 为什么我需要这个? 您希望为开发人员提供一种无需安装kubectl和/或无法访问 Kubernetes 集群的简单方法来密封秘密 您不希望开发人员能够解开/解密密封的秘密(本质上是只写) 您想要一个简单的解决方案,它不涉及大量移动部件和大量手动设置 (3)、Web UI 是使用轻量级库(Tailwind CSS 和 Alpine.js)构建的,并且可以作为单个二进制文件/部署运行。 警告: Web UI 不受任何开箱即用的 authN 保护。 尽管公开访问它不会带来任何重大风险,但强烈建议限制其访问受信任的网络和/或受信任的身份,以减少任何潜在的滥用(即自带身份验证)。 部署 在 Kubernetes 集群安装kubeseal-web的推荐方法
kubesecKubernetes安全秘密管理(具有gpg,Google Cloud KMS和AWS KMS后端)
02-02
库贝塞克 安全秘密管理(具有 , 和后端)。 简而言之,它允许您对进行加密,以便将它们与其余资源一起存储在VCS。 下面显示了一个加密的Secret的示例(请注意,只有“数据”被加密(并且密钥保持不变)): apiVersion : v1 kind : Secret metadata : name : myapp-default-0 type : Opaque data : KEY : TUFkWD1iuKs=.O....D...= ANOTHER_KEY : iOy1nf90+M6FrrEIoymN6cOSUYM=.E...=.q...= # ... 这种方法(相比于完整的文件加密)的好处是, git diff和git merge变得更加用户友好(+您可以确定存在特定条目,即使您没有解密密钥的密钥也是如此) )。 kubesec是用Go kubesec编写的,可与(或不与) :red_heart: 。 对于通用秘密管理,请查看 ( kubesec汲取了很多灵感)。 安装 苹果系统 curl -sSL https://github.com/shyiko
关于 KubernetesSecret 并不安全这件事
easylife206的专栏
12-14 957
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !K8s 提供了 Secret 资源供我们来保存、设置一些敏感信息,比如 API endpoint 地址,各...
k8s管理机密信息
PpikachuP的博客
04-30 602
Secret介绍: 应用启动过程可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像显然不妥,Kubernetes 提供的解决方案是 Secret。 Secret 会以密文的方式存储数据,避免了直接在配置文件保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 的敏感数据;此外,容...
k8ssecret里导入证书_蚂蚁集团是怎样解决K8s敏感信息的安全问题?
weixin_29742557的博客
12-22 193
作者 | 万佳 在 K8s Secret非常重要。因为它是 K8s 存储所有敏感信息的对象。据悉,这些敏感信息包含密码、集群的证书、OAuth token、ssh key 以及其他用户自定义的敏感文件等。因此,一旦 K8s Secret 出现安全问题,后果将非常严重。此外,虽然社区提供了一定的安全防护方案,但是依然存在诸多问题。K8s Secret 面临着哪些安...
K8S与Vault集成,进行Secret管理
wanger5354的博客
01-11 2322
Vault 是用于处理和加密整个基础架构秘钥的管理服务。Vault 通过 secret 引擎管理所有的秘钥,Vault 有一套 secret 引擎可以使用。其主要有以下功能:安全密钥存储:任意的key/value Secret都可以存储到Vault,Vault会对这些Secret进行加密并持久化存储。后端存储支持本地磁盘、cosul等;动态密钥:Vault可以动态生成Secret,在租约到期后会自动撤销它们;数据加密:Vault可以加密和解密数据,安全团队可以自定义加密参数;租赁和续订:Vault
K8s生产环境安全挑战与应对策略详解
Kubernetes (K8s) 是一个强大的容器编排平台,被广泛应用于生产环境,它带来了诸多优势,如统一交付单元、可移植性...通过定期的安全评估和审计,能够有效识别并解决潜在的安全隐患,确保K8s在生产环境的平稳运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值