如何在Kubernetes中实现密钥轮转?
修改于 2025-05-08 16:39:33
词条归属:密钥轮转
在 Kubernetes 中实现密钥轮转(Secrets Rotation)可以通过多种方式完成,具体取决于密钥的用途(如 TLS 证书、数据库密码、API 密钥等)以及应用对密钥变更的容忍度。以下是几种常见的实现方法:
1. 手动更新 Secret 并重启 Pod
适用场景:简单场景,应用能容忍短暂中断。 步骤:
- 更新 Secret:kubectl create secret generic my-secret --from-literal=key=value -o yaml --dry-run=client | kubectl replace -f - 或直接编辑:kubectl edit secret my-secret
- 重启 Pod(使应用重新加载 Secret):kubectl rollout restart deployment/my-app 缺点:需要手动操作,可能影响服务可用性。
2. 使用外部密钥管理系统(KMS)自动轮转
适用场景:生产环境,要求高安全性。 工具:
- AWS KMS(适用于 EKS)
- HashiCorp Vault(动态 Secret 管理)
- Google Cloud KMS(适用于 GKE)
- Azure Key Vault(适用于 AKS)
示例(HashiCorp Vault 动态 Secret):
- 应用通过 Vault 动态获取数据库密码,Vault 自动轮转密码,并通知应用重新认证获取新密钥。
- 使用 Vault CSI Provider 或 Sidecar 注入 方式挂载动态 Secret。
3. 使用 Kubernetes Operator 自动轮转
适用场景:需要自动化管理 Secret 轮转。 工具:
- cert-manager(自动轮转 TLS 证书)
- External Secrets Operator(同步外部 KMS 的 Secret 到 Kubernetes)
- 自定义 Operator(监控 Secret 变化并触发更新)
示例(cert-manager 自动轮转 TLS 证书):
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
name: my-tls-cert
spec:
secretName: tls-secret
issuerRef:
name: letsencrypt-prod
kind: ClusterIssuer
commonName: example.com
dnsNames:
- example.comcert-manager 会自动检测证书过期并轮转。
4. 应用层主动轮询 Secret 变化
适用场景:应用能动态加载 Secret,无需重启。 方法:
- 使用 文件监听(如 inotify)检测 /var/run/secrets/kubernetes.io/secrets/ 下的 Secret 变化。
- 使用 Kubernetes Watch API 监听 Secret 更新事件。
- 示例(Spring Cloud Kubernetes):spring: cloud: kubernetes: reload: enabled: true # 自动重新加载配置
5. 使用 Sidecar 容器管理 Secret
适用场景:需要隔离密钥管理逻辑。 方法:
示例(Vault Agent Sidecar):
apiVersion: apps/v1
kind: Deployment
metadata:
name: my-app
spec:
template:
spec:
containers:
- name: app
image: my-app
- name: vault-agent
image: hashicorp/vault-agent
args: ["agent", "-config=/vault/config.hcl"]
volumeMounts:
- name: shared-data
mountPath: /shared
volumes:
- name: shared-data
emptyDir: {}6. 使用 Kubernetes Admission Controller 自动轮转
适用场景:强制实施密钥轮转策略。 方法:
- 开发一个 MutatingAdmissionWebhook 或 ValidatingAdmissionWebhook,在 Pod 创建/更新时自动替换 Secret。
相关文章
点击加载更多
腾讯云开发者
