kubernetes秘密的管理
我们从Kubernetes开始,想知道其他项目如何管理Kubernetes秘密:
- 由于Kubernetes secrets值只是base64编码的,所以不建议将秘密提交到源代码控制
- 中。如果不提交源代码控制,它应该保存在其他地方的某个中心位置,否则就没有单一的真理来源。如果它存储在其他位置(.e.g。Hashicorp Vault),与CI的集成情况如何?CI是否从保险库获得价值,在Kubernetes?
- Another方法中按需创建机密资源可能是拥有一个专门的团队来处理基础架构,并且只有该团队知道和管理机密。但是,如果这个团队可能成为一个瓶颈,如果项目的数量很大,
回答 3
Stack Overflow用户
发布于 2018-08-01 21:38:43
我在github中遇到了这个叫做SealedSecrets的东西。https://github.com/bitnami-labs/sealed-secrets。我自己还没用过。虽然它看起来是一个很好的选择。但请注意这个github问题(https://github.com/bitnami-labs/sealed-secrets/issues/92)。它可能会导致您丢失标签和注释。
在坚果外壳中,SealedSecrets允许您创建一个自定义资源定义来加密您的秘密。反过来,当您部署资源时,它将解密CRD并将其转换为kubernetes Secret。这样,您就可以在源代码存储库中提交SealedSecret资源。
Stack Overflow用户
发布于 2018-08-01 10:49:41
我使用k8 secrets作为保存秘密的存储。就像当我定义一个秘密时,我在k8中定义它,而不是在其他地方,然后弄清楚如何将它注入到k8中。我有一个方便的客户端来创建、查找和修改我的秘密。我不需要担心我的秘密会离开防火墙。它们很容易被注入到我的服务中
如果你想要一个额外的保护层,你可以自己用KMS或类似的东西来加密k8中的秘密
Stack Overflow用户
发布于 2019-03-05 04:15:28
我们最近发布了一个名为Kamus的项目。其思想是允许开发人员加密特定应用程序的秘密(使用Kubernetes service account标识),而只有此应用程序可以解密它。Kamus被设计为支持GitOps流,因为加密的秘密可以提交给源代码控制。有关更多详细信息,请查看此blog post。
https://stackoverflow.com/questions/51624230
复制相似问题
腾讯云开发者
