问如何使用客户端托管密钥对Kubernetes吊舱使用的实际存储/卷进行加密(提供者端对密钥的了解最少/零)？

EN

我想到的唯一一件事，正如评论中已经提到的，是hashicorp保险库。

金库是一种安全获取秘密的工具。秘密是任何您想要严格控制访问的内容，如API密钥、密码或证书。金库为任何秘密提供统一的接口，同时提供严格的访问控制和记录详细的审计日志。

您可能需要查看的一些特性：

1. API驱动接口 由于HTTP，您可以编程地访问它的所有特性。此外，还有几个官方支持的编程语言库(Go和Ruby)。这些库使得与Vault的API的交互更加方便。还有一个命令行接口可用.
2. 数据加密 金库能够加密/解密数据而不存储数据。其主要含义是，如果发生了入侵，即使攻击成功，黑客也无法访问真正的秘密。
3. 动态秘密 保险库可以根据需要为某些系统(如AWS或SQL数据库)生成机密信息。例如，当应用程序需要访问S3桶时，它会向Vault请求凭证，Vault将根据需要生成一个具有有效权限的asks。在创建这些动态秘密之后，Vault还将在租约到期后自动撤销它们。这意味着秘密在阅读之前是不存在的。
4. 租赁和更新：所有的秘密都有与之相关的租约。在租约结束时，Vault将自动撤销这个秘密。客户可以通过内置更新API续订租约。
5. 方便认证 保险库支持使用令牌的身份验证，这是方便和安全的。

金库也可以定制和连接到各种插件，以扩展其功能。这一切都可以通过web图形界面来控制。