很多應用在使用時都需要用到Secret信息,如授權Token、用戶名密碼、私鑰等,GitOps系統是以Git作為應用來源,將Secret信息以明文方式存儲在Git倉庫中會有泄露風險,為了Secret信息的安全性,GitOps需要對Secret信息進行安全管理。
GitOps通常可以使用以下兩類方案對Secret信息進行管理:
在Git中存儲Secret信息的引用
在Git中存儲加密后的Secret信息
在Git中存儲Secret信息的引用
這類方案,主要是在Git中存儲一個Kubernetes資源清單,這些資源引用KMS(Key Management System)中的Secret信息,再通過GitOps將該資源部署到業務Kubernetes集群中,Operator獲取相應的Secret,并且在集群中創建相應的Kubernetes Secret。
以下兩個重要項目實現了該類方法,分別是ExternalSecrets和Kubernetes Secret Store CSI Driver。
ACK One基于這兩種方式,支持從阿里云KMS服務中將Secret信息應用到業務集群中,詳細信息,請參見使用ack-secret-manager或csi-secrets-store-provider-alibabacloud導入阿里云KMS服務憑據。
您可以將您的Secret信息存儲于阿里云KMS服務中,并在Gi的應用清單中,增加相應的ExternalSecret、SecretProviderClass等資源,以及修改Workload相應使用方式。
在Git中存儲加密后的Secret信息
這類方案是先將Secret信息加密,然后將密文存儲在Git中的Kubernetes Secret清單中,部署到業務集群中以后,再進行解密。
該類方案您可在開源社區自行搜索。
文檔內容是否對您有幫助?