美文网首页
argocd 敏感信息保护之SealedSecret

argocd 敏感信息保护之SealedSecret

作者: 激励青年 | 来源:发表于2020-06-22 09:01 被阅读0次
    封面

    简介:为什么需要SealedSecret?

    在gitops的理念中,我们的一切配置都是放在git仓库中的,这个其中就包含了我们的敏感信息例如用户名/密码/数据库连接/数据库访问秘密等,这些如果还是依赖于secret的base64加密的话就显得相形见绌了。
    系列文章同步更新中:

    argocd的secret管理之SealedSecret:在git里面加密敏感配置
    argocd告警管理之notification服务:让你第一时间得到argocd app的状态信息
    argocd蓝绿/金丝雀发布之rollout: 快速方便的启用基于gitops的蓝绿/金丝雀发布
    gitops之argocd

    一,安装SealedSecret:

    SealedSecret官网

    1, 安装

    1.1 安装时需要注意,SealedSecret也是一个operator。他的作用就是将你用SealedSecret加密的变量解密成k8s的secret,所以在k8s界面你还是能看到原来的sealedsecret,另外k8s 也是不支持这种非默认资源的显示的,但是使用argocd能帮我们看到:


    argocd能清晰的看出sealedsecret资源

    1.2 通过kubectl直接安装

    ##这个安装默认会安装到你的kube-system 里面去  基本一个pod就够了
    $ kubectl apply -f https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.12.4/controller.yaml
    

    Once you deploy the manifest it will create the SealedSecret resource and install the controller into kube-system namespace, create a service account and necessary RBAC roles.
    After a few moments, the controller will start, generate a key pair, and be ready for operation. If it does not, check the controller logs.

    二,如何使用SealedSecret:

    2.1 如何获取到你的SealedSecret加密公钥?


    部署完SealedSecret后的pod

    入上图所示,找到sealed-secrets-controller pod,日志里面会输出当前管理的公钥,现在的最新版本中会一个月更新一次公钥,理论上来讲之前用公钥加密的敏感配置不受影响。一个月以后需要加密的配置请查看日志产生的最新公钥。

    2.2 首先安装客户端并且生成相应的加密yaml

    #1. 在一台linux机器上执行以下几步:
    >wget https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.10.0/kubeseal-linux-amd64 -O kubeseal    
    >sudo install -m 755 kubeseal /usr/local/bin/kubeseal
    
    #2. 准备一个base64加完秘的secret.yaml文件
        apiVersion: v1
        kind: Secret
        metadata:
          name: <secret-name>  #直接写死
          namespace: <namespace> #直接写死,它会根据你的namespace 来生成加密,意思在别的ns下是不能解密成功的
        type: Opaque
        data:
          mysql_usename: dXNlbmFtZQo=   #value 已经base64加完秘
          mysql_password: cGFzc3dvcmQK
    #3. 通过如下命令立马生成加密文件
     kubeseal --format=yaml --cert=public-cert.pem < ${你的原始secret.yaml文件} >  ${生成后的sealedsecret文件名字}   #注意尖括号<>不能去掉
    
    

    2.3 通过argocd 部署你的SealedSecred

    apiVersion: bitnami.com/v1alpha1
    kind: SealedSecret
    metadata:
      creationTimestamp: null
      labels:
        app.kubernetes.io/instance: cost-service
      name: demo-secret
      namespace: argocd-demo
    spec:
      encryptedData:
        password: >-   AgATaSIAkO5e5WN9dTt1WAm6zbHa2s92GoLktDebNselXHPBiWYZi05rFJMN5RUvYHQKcQoRSakzkhd**** 
      template:
        metadata:
          creationTimestamp: null
          name: demo-secret
          namespace: argocd-demo
        type: Opaque
    ###SealedSecret 清单文件就像上面这个样子,我们可以通过kubectl或者argocd将其部署到k8s
    

    相关文章

      网友评论

          本文标题:argocd 敏感信息保护之SealedSecret

          本文链接:https://www.haomeiwen.com/subject/ibiuxktx.html