現如今開發的大多數應用程序，或多或少都會用到一些敏感信息，用于執行某些業務邏輯。比如使用用戶名密碼去連接數據庫，或者使用秘鑰連接第三方服務。在代碼中直接使用這些密碼或者秘鑰是最直接的方式，但同時也帶來了很大的安全問題，如何保證密碼、秘鑰不被泄露。

為了保證敏感信息的安全性，Secret對象應該被加密，并且應該使用Kubernetes RBAC機制對訪問進行控制。如果你正在使用AWS公有云來托管Kubernetes集群，則可以利用AWS密鑰管理服務（KMS）對靜態數據進行加密。

Kubernetes的清單文件通常被提交到代碼倉庫中以進行版本控制。但是你可能不希望將敏感信息以純文本或Base64編碼字符串的形式提交到Git代碼倉庫中。我們都應該知道為什么，這不安全！但是，你在Kubernetes集群之外將敏感數據保存在何處，以確保它們是安全的？

有很多方法可以解決這個問題。下面列出了其中幾個：

1選項1：加密純文本敏感數據，然后再提交到Git代碼倉庫中

1. 使用對稱或非對稱算法加密純文本敏感數據。
2. 使用Kubernetes Custom Resource Definition（CRD）創建自定義的Secret對象，以使用加密的文本數據。
3. 創建一個自定義Kubernetes控制器，該控制器讀取自定義Secret對象中的加密信息，并在運行時解密，并創建一個原生的Secret對象。

使用這種方法，你可以將加密的數據提交到Git代碼倉庫中。而且它沒有風險，因為數據是加密的，只能用你的私鑰解密。但是你把私鑰放在哪里？

如何存儲加密密鑰和管理整個加解密過程，可以使用Bitnami的Sealed Secrets[1]。

2選擇2：使用第三方服務來存儲敏感數據

1. 你可以將敏感數據存儲到第三方服務中，如AWS Secrets Manager或HashiCorp Vault。
2. 創建自定義Kubernetes控制器，基于配置從這些服務中獲取機密信息，并在運行時創建Kubernetes Secret對象。

External Secrets[2]項目可以幫助你實現選項2。

你還可以增強應用程序邏輯，以便在應用程序啟動時從第三方服務讀取機密信息，但這里的整體思想是將機密信息管理與應用程序業務邏輯分離開來，并利用Kubernetes的功能來進行相同的管理。

3快速概覽Sealed Secrets

在Sealed Secret開源項目中，你可以將你的Secret加密為一個SealedSecret，這樣就可以安全地存儲，甚至可以存儲到公共存儲庫中。SealedSecret只能由運行在目標集群中的控制器解密，其他人，甚至包括原始作者，都無法從SealedSecret獲得原始的Secret。

Sealed Secrets由兩部分組成：

• 服務器端的控制器
• 客戶端工具：kubeseal

kubeseal使用非對稱加密來加密數據，然后只有服務端的控制器才能解密數據。

這些加密數據被編碼在SealedSecret資源中，你可以將其視為創建Secret的配方。

下面是如何使用Sealed Secrets來管理Secret的具體步驟。

1、安裝kubeseal，這是一個客戶端工具，可以幫助你創建SealedSecret

2、安裝服務器端控制器，為SealedSecret創建Custom Resource Definition（CRD）

3、驗證sealed-secret controller Pod是否運行

如果你查看Pod的日志，你將看到控制器為自己創建的一對秘鑰，這對秘鑰將被用于加解密過程。

運行以下命令查看公鑰/私鑰信息。

4、創建一個名為secrets.yaml的Secret清單文件

現在讓我們使用kubeseal命令，將secrets.yaml轉變為SealedSecret資源清單文件。

在上面的步驟中，kubeseal從Kubernetes集群獲取公鑰并使用該公鑰加密數據。

5、讓我們使用SealedSecret資源清單文件，在Kubernetes中創建資源。

如果你再次檢查控制器的日志，你將看到控制器攔截了請求，并解密來自SealedSecret的加密數據，數據被解密后，將創建Kubernetes的Secret對象。

鏈接：https://waswani.medium.com/securing-secrets-in-kubernetes-c78c7bcd433

（版權歸原作者所有，侵刪）