飞社-令人惊奇的创意工作者社区-首页Kubernetes最近用 argocd 部署的时候想到的 k8s 的 secret 问题 ...
FSHEX=FIND+SHARE+EXPRESS
飞社-令人惊奇的创意工作者社区- 是一个关于发现分享表达的地方
现在登录
没有账号?  立即注册

最近用 argocd 部署的时候想到的 k8s 的 secret 问题

zx900930 · 2024-7-24 07:58:33 · 59 次点击
存放配置文件的 git repo 在开发环境、同步一份到 prod 。
staging 和 prod 用 argocd 连到不同的 git repo 上读取配置。
按照安全标准开发环境是不允许有生产环境的 credentials ,除非进行了加密。

但是众所周知 k8s 默认的 secret 只是 base64 编码,不是加密。
1. 不写的话服务缺少依赖跑不起来,得分别去几个不同的集群手动添加 secret 。
2. 如果上 vault 这种又有点重,引入了新的组件和维护成本。
有啥最佳实践么?
举报· 59 次点击
登录 注册 站外分享
显示全部 | 最新评论
3 条回复  
沙发
momo2789 小成 2024-7-24 08:38:22
我在用 Helm Secrets ,生产测试 secrets 存在 GCP Secret Manager
板凳
oldboy627 小成 2024-7-24 12:17:08
你可以使用 openssl 加密,然后创建 tls 类型的 secrets ,在 pod 上创建一个 init container 进行 ssl 反向解密并把这个 secrets 以 volume 方式或者注入环境变量方式给 pod 容器。
地板
zed1018 小成 2024-7-24 13:06:49
但是集群访问以及资源不都是有访问控制的吗,secret 本身加密与否没有那么重要吧
手机版小黑屋飞社-令人惊奇的创意工作者社区
Powered by FSHEX ♥ GMT+8, 2024-11-28 06:03, Processed in 0.090657 second(s), 25 queries .
鲁ICP备2024064694号-2
返回顶部