Kubernetes中怎么選Secrets管理器

Kubernetes中怎么選Secrets管理器,相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無策,為此本文總結(jié)了問題出現(xiàn)的原因和解決方法,通過這篇文章希望你能解決這個(gè)問題。

創(chuàng)新互聯(lián)建站服務(wù)項(xiàng)目包括志丹網(wǎng)站建設(shè)、志丹網(wǎng)站制作、志丹網(wǎng)頁制作以及志丹網(wǎng)絡(luò)營銷策劃等。多年來,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案,志丹網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到志丹省份的部分城市,未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任!

Secrets是Kubernetes中一種對(duì)象類型,用來保存密碼、私鑰、口令等敏感信息。那么在Kubernetes中,如何實(shí)現(xiàn)對(duì)Secrets的有效管理,以保障這些機(jī)密數(shù)據(jù)的安全呢?

Kubernetes內(nèi)置的Secrets管理

Kubernetes提供了一種內(nèi)置機(jī)制,用于存儲(chǔ)用戶希望保密的配置值。 它們可以對(duì)特定名稱空間進(jìn)行訪問控制,默認(rèn)情況下,它們的內(nèi)容不會(huì)顯示在kubectl get或 describe 輸出中。 它們是base64編碼的,因此即使直接從 kubectl 中提取內(nèi)容,內(nèi)容也不會(huì)立即顯現(xiàn)。

這些 secrets 以 plaintext 形式存儲(chǔ)在集群的etcd服務(wù)器上,除非將etcd配置為使用TLS加密通信,否則當(dāng)etcd集群同步時(shí),這些機(jī)密在線上可見。 此外,擁有或可以獲得集群中任何節(jié)點(diǎn)的root訪問權(quán)限的任何人,都可以通過模擬 kubelet 來讀取所有機(jī)密數(shù)據(jù)。

因此,除非您的安全要求非常低,否則建議使用第三方解決方案來保護(hù)機(jī)密數(shù)據(jù)。

來自第三方的Secrets管理器

Kubernetes中有3種基本類別的Secrets管理解決方案,如果您的要求超出了內(nèi)置Secrets功能設(shè)置的極低條件,您應(yīng)該考慮這些類別:

  • 來自云供應(yīng)商的Secrets管理解決方案;

  • 自己運(yùn)行的開源解決方案,無論是在集群中還是在周圍;

  • 來自各種供應(yīng)商的專有解決方案。

1、云管平臺(tái)的Secrets商店

如果您在其中一個(gè)主要的公有云中運(yùn)行,并且已經(jīng)購買其Secrets管理服務(wù),或者您只是想快速創(chuàng)建并且不考慮潛在的供應(yīng)商鎖定,那么云托管解決方案是一個(gè)不錯(cuò)的選擇,比如AWS Secrets Manager。

2、開源的Secrets管理器

如果使用裸機(jī),想要避免云供應(yīng)商鎖定,擔(dān)心云供應(yīng)商解決方案的安全性,或者需要與現(xiàn)有企業(yè)標(biāo)準(zhǔn)集成,您可能需要選擇一個(gè)軟件解決方案。

1)Vault

到目前為止,Kubernetes中使用最廣泛,最受歡迎且功能最豐富的Secrets管理器是Vault。Vault比云管理的解決方案功能更豐富且能保持一致性,可與EKS,GKE,本地群集以及可能運(yùn)行Kubernetes的任何位置完美配合。人們對(duì)基于Vault的云管理存儲(chǔ)也存在爭(zhēng)議,主要是由于很難設(shè)置和配置高性能的HA Vault集群,不過可以通過內(nèi)置的自動(dòng)化和支持來緩解。

它還提供了幾個(gè)獨(dú)特的功能:

  • 完全私有的Cubbyholes,Token 令牌是唯一可以訪問數(shù)據(jù)的人。

  • 動(dòng)態(tài)secrets。 Vault可以在數(shù)據(jù)庫和云IAM中自動(dòng)創(chuàng)建帳戶和憑據(jù)。

  • PKI證書和SSH證書生成引擎,允許使用單個(gè)API調(diào)用生成和存儲(chǔ)證書。

  • 跨區(qū)域、跨云、跨數(shù)據(jù)中心復(fù)制,支持過濾器以限制不應(yīng)跨群集傳輸?shù)臄?shù)據(jù)。

  • 支持各種身份驗(yàn)證方法,并在需要時(shí)支持MFA。

2)Sealed Secrets

Kubernetes樣式編排的一個(gè)好處是配置基于一組聲明性json或yaml文件,可以很容易地存儲(chǔ)在版本控制中,可以基于Git將操作變更自動(dòng)化為單一事實(shí)。 這意味著,負(fù)載配置的每個(gè)更改都可以與應(yīng)用程序代碼進(jìn)行相同的拉取請(qǐng)求和同行評(píng)審過程。

但是,像Vault這樣的傳統(tǒng)Secrets管理方法,以及上述所有云存儲(chǔ)都為在Git之外管理的Secrets數(shù)據(jù)引入了第二個(gè)真實(shí)來源——在集群中引入了另一個(gè)完全獨(dú)立跟蹤的潛在變更/故障源。 這可能會(huì)使故障排除變得復(fù)雜,也會(huì)導(dǎo)致所有集群配置更改的審核日志記錄變得復(fù)雜。

Sealed Secrets專為解決這一問題而設(shè)計(jì)。 它的工作原理是在Kubernetes集群中運(yùn)行一個(gè)帶有機(jī)密數(shù)據(jù)和公鑰的控制器,并提供一個(gè)可以在標(biāo)準(zhǔn)配置文件中使用的加密字符串,并且只能由包含該私鑰的控制器解密。

也就是說,可以將安全憑證直接存儲(chǔ)在Git中的配置文件,和所有需要訪問它的人共享Git存儲(chǔ)庫,但這些用戶都不能訪問這些憑據(jù)。這可用于創(chuàng)建基于GitOps的安全工作流。

看完上述內(nèi)容,你們掌握Kubernetes中怎么選Secrets管理器的方法了嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝各位的閱讀!

網(wǎng)站標(biāo)題:Kubernetes中怎么選Secrets管理器
地址分享:http://bm7419.com/article22/pccdjc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供面包屑導(dǎo)航、網(wǎng)站營銷網(wǎng)站導(dǎo)航、、建站公司、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

成都定制網(wǎng)站建設(shè)