Amr*_*uth 0 kubernetes devops kubernetes-helm
我试图用来Helm charts在Kubernetes集群中安装应用程序。有人可以提出什么更好的秘密管理解决方案吗?使用helm secrets将是一个好主意还是Hashicorp Vault?
保管箱在技术上很棒,但可能会带来管理负担。无论“秘密”如何,您都可以得到有力的保护;您可以通过生成一次性密码来避免共享诸如中央数据库密码之类的魔术秘密;如果您需要签名或加密的东西,可以要求Vault为您执行此操作,而不必自己知道加密秘密。最大的缺点是,它是一项单独的管理服务,从其中获取秘密并不是完全无缝的,并且如果您需要重新启动服务器,则有时需要由管理员来解封。
Kubernetes的秘密实际上只是具有不同名称的ConfigMap。使用默认设置,操作员很容易获得Secret的值(kubectl get secret ... -o yaml,然后base64解码字符串),因此它们实际上并不是那个秘密。如果您有一个有趣的名称空间设置,通常就不能在其他名称空间中访问Secret,这可能意味着被迫在Secrets周围进行大量复制。仅使用诸如kubectl管理机密之类的本机工具也有点笨拙。
通过Helm推送凭据可能是最无缝的路径-从Helm值转换为Secret对象以推送到容器中非常容易,并且很容易从CI系统之类的地方推送值-但安全性最低。除了能够通过kubectl您转储值之外,还可以helm get values在Helm版本中查找值。
因此,这是一个让您真正保密的重要性,以及您要付出多少努力。如果您想要无缝集成,并且可以限制授权运营商访问集群并有效使用RBAC,那么Helm值可能会很好足够。如果您可以投资技术上最好,也是最复杂的解决方案,并且想要一些高级功能,那么Vault可以很好地工作。维护一个普通的Kubernetes秘密是一种中间立场,它比使用Helm安全得多,但几乎没有可管理性。
| 归档时间: |
|
| 查看次数: |
3126 次 |
| 最近记录: |