标签: sealedsecret

我有一个关于使用seal-secrets\n的问题。

SealedSecrets 解决方案解决了我们\xe2\x80\x99 遇到的问题：能够在版本控制中存储机密。然而，我们希望能够从密封秘密文件（已经由 kubeseal 加密的文件）重新生成普通秘密文件。用例：您转到现有的存储库，克隆它，然后您想查看本地计算机的实际秘密值是什么。

\n
• 是否可以使用 kubeseal 来完成此任务？
\n
• 如果没有，您建议如何实现这种行为？例如，也许与云秘密管理器集成？
\n

据我了解，鉴于我想在 kubernetes 控制器之外解密，这违背了密封秘密的目的。但我希望这个用例有意义，并且我得到了一些关于如何实现这一目标的建议。

我正在尝试使用ArgoCD和Kustomize配置Bitnami SealedSecrets。

我已成功使用 kubeseal CLI 对机密进行加密，这些机密已作为密封机密部署在 Kubernetes 集群上，并且可以通过集群上运行的密封机密控制器来解封。未密封的 Secret 包含预期值。我已经使用 Kustomize Secret Generators 定义了秘密 - 如本教程中所述：使用 Kustomize 密封秘密。这也工作正常，因为 ArgoCD 认识到应该生成 Secret。

但是，ArgoCD 希望机密为空，因为它们在应用程序的 kustomization.yaml 的 Secret Generator 部分中被定义为空：

secretGenerator:
- name: secret1
  type: Opaque
- name: secret2
  type: Opaque
- name: secret3
  type: Opaque
... 

由于 ArgoCD 期望秘密为空，因此在密封秘密控制器解封并解密秘密后，它们被检测为“不同步”：

由于 ArgoCD 认为秘密应该为空，因此这些秘密被替换为空秘密。然后，Sealed Secrets Operator 再次更新 Secret，并用解密的数据填充数据字段 - 导致 ArgoCD 同步的无限循环。

这些秘密被标记为由 Bitnami Sealed Secrets 使用注释进行管理sealedsecrets.bitnami.com/managed: "true"。因此，它们正在由“密封的秘密”控制器进行更新。

我如何更改清单以确保未密封的秘密被识别为“同步”，并且 ArgoCD 不会由于未密封的秘密的“OutOfSync”状态而继续同步？（这似乎是由未密封秘密中的解密数据引起的 - 如上面屏幕截图中的差异所示。）