运用 External Secrets Operator 安全管理 Kubernetes Secrets
|
API 服务器底层的数据存储(etCD)未经密码保护地便携式保存了 Kubernetes Secret。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 什么是Secret? Secret 是用于管理用户到应用程序和应用程序到应用程序级别的访问权限的数字凭证。它们可以是密码、加密密钥、令牌等形式。 什么是Secrets Management? Secret Management 是关于安全地管理数字凭证的创建、存储、转换和撤销,同时消除或至少最大限度地减少人为参与并减少潜在的风险。 什么是 Kubernetes Secret? 容器需要访问敏感数据才能执行基本操作,例如与数据库、API 和其他系统集成。就 Kubernetes 而言,Secret 是一个包含数字凭证的对象,例如密码、令牌或密钥。使用Secret消除了将敏感信息存储在pod 规范或容器影像中的需要。 我们都知道使用 Secret 连接到外部服务的典型模式。下面展示的是我们的一个相对简单的解决方案架构,图形化地展示了我们如何使用 Secret 客户端连接到数以百万计的数据库。 现在,想象一下将您的应用程序拆分为多个服务,每个服务都有自己的外部依赖项,例如数据库、第三方 API 等,从而导致架构更加复杂。 因此,我们需要一个简单的解决方案,至少可以解决其中一些问题,它将存储在外部 Secret 管理工具中的 Secret 带入我们的集群,并继续在我们的应用程序中使用 Kubernetes Secret。这意味着我们需要一个组件来将外部 Secret 同步到我们的集群中。这就是 External Secrets Operator 为我们做的事情。在一个实施例中,可以使用任何合适的技术来确定哪些节点是活动的,哪些节点是静止的。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
