Kubernetes中怎么選Secrets管理器,相信很多沒有經(jīng)驗的人對此束手無策,為此本文總結(jié)了問題出現(xiàn)的原因和解決方法,通過這篇文章希望你能解決這個問題。
創(chuàng)新互聯(lián)建站服務(wù)項目包括志丹網(wǎng)站建設(shè)、志丹網(wǎng)站制作、志丹網(wǎng)頁制作以及志丹網(wǎng)絡(luò)營銷策劃等。多年來,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,志丹網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到志丹省份的部分城市,未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!
Secrets是Kubernetes中一種對象類型,用來保存密碼、私鑰、口令等敏感信息。那么在Kubernetes中,如何實(shí)現(xiàn)對Secrets的有效管理,以保障這些機(jī)密數(shù)據(jù)的安全呢?
Kubernetes提供了一種內(nèi)置機(jī)制,用于存儲用戶希望保密的配置值。 它們可以對特定名稱空間進(jìn)行訪問控制,默認(rèn)情況下,它們的內(nèi)容不會顯示在kubectl get或 describe 輸出中。 它們是base64編碼的,因此即使直接從 kubectl 中提取內(nèi)容,內(nèi)容也不會立即顯現(xiàn)。
這些 secrets 以 plaintext 形式存儲在集群的etcd服務(wù)器上,除非將etcd配置為使用TLS加密通信,否則當(dāng)etcd集群同步時,這些機(jī)密在線上可見。 此外,擁有或可以獲得集群中任何節(jié)點(diǎn)的root訪問權(quán)限的任何人,都可以通過模擬 kubelet 來讀取所有機(jī)密數(shù)據(jù)。
因此,除非您的安全要求非常低,否則建議使用第三方解決方案來保護(hù)機(jī)密數(shù)據(jù)。
Kubernetes中有3種基本類別的Secrets管理解決方案,如果您的要求超出了內(nèi)置Secrets功能設(shè)置的極低條件,您應(yīng)該考慮這些類別:
來自云供應(yīng)商的Secrets管理解決方案;
自己運(yùn)行的開源解決方案,無論是在集群中還是在周圍;
來自各種供應(yīng)商的專有解決方案。
1、云管平臺的Secrets商店
如果您在其中一個主要的公有云中運(yùn)行,并且已經(jīng)購買其Secrets管理服務(wù),或者您只是想快速創(chuàng)建并且不考慮潛在的供應(yīng)商鎖定,那么云托管解決方案是一個不錯的選擇,比如AWS Secrets Manager。
2、開源的Secrets管理器
如果使用裸機(jī),想要避免云供應(yīng)商鎖定,擔(dān)心云供應(yīng)商解決方案的安全性,或者需要與現(xiàn)有企業(yè)標(biāo)準(zhǔn)集成,您可能需要選擇一個軟件解決方案。
1)Vault
到目前為止,Kubernetes中使用最廣泛,最受歡迎且功能最豐富的Secrets管理器是Vault。Vault比云管理的解決方案功能更豐富且能保持一致性,可與EKS,GKE,本地群集以及可能運(yùn)行Kubernetes的任何位置完美配合。人們對基于Vault的云管理存儲也存在爭議,主要是由于很難設(shè)置和配置高性能的HA Vault集群,不過可以通過內(nèi)置的自動化和支持來緩解。
它還提供了幾個獨(dú)特的功能:
完全私有的Cubbyholes,Token 令牌是唯一可以訪問數(shù)據(jù)的人。
動態(tài)secrets。 Vault可以在數(shù)據(jù)庫和云IAM中自動創(chuàng)建帳戶和憑據(jù)。
PKI證書和SSH證書生成引擎,允許使用單個API調(diào)用生成和存儲證書。
跨區(qū)域、跨云、跨數(shù)據(jù)中心復(fù)制,支持過濾器以限制不應(yīng)跨群集傳輸?shù)臄?shù)據(jù)。
支持各種身份驗證方法,并在需要時支持MFA。
2)Sealed Secrets
Kubernetes樣式編排的一個好處是配置基于一組聲明性json或yaml文件,可以很容易地存儲在版本控制中,可以基于Git將操作變更自動化為單一事實(shí)。 這意味著,負(fù)載配置的每個更改都可以與應(yīng)用程序代碼進(jìn)行相同的拉取請求和同行評審過程。
但是,像Vault這樣的傳統(tǒng)Secrets管理方法,以及上述所有云存儲都為在Git之外管理的Secrets數(shù)據(jù)引入了第二個真實(shí)來源——在集群中引入了另一個完全獨(dú)立跟蹤的潛在變更/故障源。 這可能會使故障排除變得復(fù)雜,也會導(dǎo)致所有集群配置更改的審核日志記錄變得復(fù)雜。
Sealed Secrets專為解決這一問題而設(shè)計。 它的工作原理是在Kubernetes集群中運(yùn)行一個帶有機(jī)密數(shù)據(jù)和公鑰的控制器,并提供一個可以在標(biāo)準(zhǔn)配置文件中使用的加密字符串,并且只能由包含該私鑰的控制器解密。
也就是說,可以將安全憑證直接存儲在Git中的配置文件,和所有需要訪問它的人共享Git存儲庫,但這些用戶都不能訪問這些憑據(jù)。這可用于創(chuàng)建基于GitOps的安全工作流。
看完上述內(nèi)容,你們掌握Kubernetes中怎么選Secrets管理器的方法了嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝各位的閱讀!
網(wǎng)站標(biāo)題:Kubernetes中怎么選Secrets管理器
地址分享:http://aaarwkj.com/article22/pccdjc.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供面包屑導(dǎo)航、網(wǎng)站營銷、網(wǎng)站導(dǎo)航、、建站公司、外貿(mào)網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)