Dar*_*ght 5 java spring-boot google-cloud-platform microservices google-kubernetes-engine
我正在编写一个基于 Spring Boot 的微服务,它将部署在 GKE 上。要配置服务帐户凭据,我确实看到有多个可用选项。什么是最优选且可能更安全的选择?我已经尝试过以下方法,请建议其他方法
在云环境中,通常最安全、最好的选择和最少的管理开销是使用云提供商的相应服务 - 在您的情况下,它将是Secret Manager。当然,如果您计划不将您的应用程序与特定云提供商绑定或也不迎合本地环境,那么您可以使用第三方 Secret 管理提供商,例如HashiCorp Vault。
然而,即使使用 Secret Manager,如果您直接与 API 交互,您也必须提供密钥才能在某处调用 API,这会产生另一个问题。一般推荐的解决方案是使用应用程序作为服务帐户进行身份验证并直接与 Secret 管理器交互,如此处所述。或者,还有其他方法可以使用 CSI 驱动程序将 Secret Manager 中的 Secret 安装到 GKE 卷上,如此处所述。
运行安全的集群和容器应用程序是一项关键要求,这里是 GKE 安全强化的进一步建议,其中也涵盖了 Secret 管理。更具体地说,您可以查看“CIS GKE 基准建议:6.3.1”部分中的建议
| 归档时间: |
|
| 查看次数: |
3709 次 |
| 最近记录: |