如何規(guī)避 Secret 泄露風險
在 K8s 的管理過程中,像 Secret 這種資源并不好維護,KubeSeal 提供了一種相對簡單的方式來對原始 Secret 資源進行加密,并通過控制器進行解密,以此來規(guī)避 Secret 泄露風險。
安裝
安裝 KubeSeal
$wgethttps://github.com/bitnami-labs/sealed-secrets/releases/download/v0.18.0/kubeseal-0.18.0-linux-amd64.tar.gz $tar-xvfkubeseal-0.18.0-linux-amd64.tar.gz $cpkubeseal/usr/local/bin/ $kubeseal--version
安裝controller
$kubectlapply-fhttps://github.com/bitnami-labs/sealed-secrets/releases/download/v0.18.0/controller.yaml
執(zhí)行上述命令之后會在 kube-system 命名空間下啟動一個控制器 Pod:
$kgetpod-nkube-system|grepseal sealed-secrets-controller-b9fb75d85-k4csm1/1Running07h28m
Pod 啟動之后,使用端口轉發(fā)映射到本地:
$kubectl-nkube-systemport-forwardsvc/sealed-secrets-controller8080:8080
使用方式
生成加密文件
首先在本地創(chuàng)建一個名為 secret-example.yaml 的文件,編碼前的 secret 字段為:mysupersecret
apiVersion:v1 kind:Secret metadata: name:secret-example data: secret:bXlzdXBlcnNlY3JldAo=
使用如下命令將 secret-example.yaml,轉換為加密后的文件 sealed-secret-example.yaml
$kubeseal--secret-filesecret-example.yaml--sealed-secret-filesealed-secret-example.yaml
sealed-secret-example.yaml 的內(nèi)容如下,spec.encryptedData.secret 就是加密后的內(nèi)容:
apiVersion:bitnami.com/v1alpha1 kind:SealedSecret metadata: creationTimestamp:null name:secret-example namespace:kube-system spec: encryptedData: secret:AgB1ZZg8+J+0HLymOQZdTfWVQZiNkhm5X6WULJuBAAEaQQNhM8i2TV2I1SgKT4sUOCRv90XA1oeFld3XoGPjvYE3leOD1cvK1dDVqno6mNLRziokISk/9fB3cVE2GVgyCud//M53xNpVemDufgsJS2q/KGIOeNEijk9ZM2FaKoLDwtPaVNL0NfmC2xne2XtWJp+/eMOREhbubQhnj5M/Se75axazviuDNf6Ss9fAuR38Msd5DXnKBtyrckEHSa8TDn8ErssOh0ogX14e0/ThN3EWJecSBtx7Xfd0m90+vjmvWevMag442349aquR/qLo0mg40mhcCqSBw/MjaIGZ2F5XRufG1WEP43OgLMTixN2lLSU3eYTrv5t075taI9WJgoOl0DD8UA74EMpX7RMKTiXD6C0XngKmMKg5fUK7JNLFfwHMRPi4zNTwJa9ViDyD0iAJrGGbmMso/nHEtwOtrLE5Rrf0kLQ5N6Lj57gOBdqu903/vDM4Jm695GvEWL2aR3ShOxasHCuZeXj8Q5+KYWeF9sySiJH8bwEtaw6x7j9AxBOwjxWYD0Jvj9KhtlqBa4okSDc3bcgRKGhsSXQx6jOumI5rj+V542hkB6Z8JOtJ17VmzR6XDQDmqSl1FqqwKD5n5yUy5Kf6pJYBnsgKn3TzesQ6JfQbyRLTh1Pn3odOYCnp+Ixbd0Tgn0n5m0KO3RX0hiwGoe0hObIZcsF36g== template: data:null metadata: creationTimestamp:null name:secret-example namespace:kube-system
可以將加密后的文件保存到 Gitlab。
創(chuàng)建加密文件:
$kcreate-fsealed-secret-example.yaml sealedsecret.bitnami.com/secret-examplecreated $kgetsealedsecrets.bitnami.com NAMEAGE secret-example6s
在創(chuàng)建完加密文件之后,Controller 會解密并生成對應的 secret:
$kgetsecrets|grepsecret-example secret-exampleOpaque12m15s
查看由 Controller 生成的 secret 資源內(nèi)容,可以看到 data.secret 與上面創(chuàng)建的 secret-example.yaml 文件內(nèi)容一致:
$kgetsecretsecret-example-oyaml apiVersion:v1 data: secret:bXlzdXBlcnNlY3JldAo= kind:Secret metadata: creationTimestamp:"2022-06-10T0040Z" name:secret-example namespace:kube-system ownerReferences: -apiVersion:bitnami.com/v1alpha1 controller:true kind:SealedSecret name:secret-example uid:57a5b691-9bb5-4dac-800a-1a1baa878299 resourceVersion:"675560" uid:e0db31ad-082b-4596-9fd0-28cc810d86f4 type:Opaque
注:SealedSecret 和對應的 secret 資源必須位于相同的命名空間
TIPs
kubeseal 支持如下API:
| Route | Description |
|---|---|
| /healthz | Health check route useful for the readiness and liveness probes and for creating an external probe; for example with blackbox exporter. |
| /metrics | Endpoint for the Prometheus to retrieve the controller’s metrics. |
| /v1/verify | Validates a secret. |
| /v1/rotate | Rotates the secret. |
| /v1/cert.pem | Retrieves the public certificate. |
上例中 Controller 用的證書是自己生成的,還可以指定自己的證書,更方便遷移和管理
使用 KubeSeal 可能會有一種困惑,如果用戶直接掛載其他命名空間的 secret,那么這樣可能會導致 secret 泄露。官方對此有作解釋,如可以通過 RBAC 限制用戶可以訪問的命名空間以及資源類型。
審核編輯:彭靜
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。
舉報投訴
-
控制器
+關注
關注
112文章
16445瀏覽量
179454 -
編碼
+關注
關注
6文章
957瀏覽量
54951 -
端口
+關注
關注
4文章
990瀏覽量
32208
原文標題:如何使用 KubeSeal 高效加密和管理 Kubernetes 集群的 Secret
文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關注!文章轉載請注明出處。
發(fā)布評論請先 登錄
相關推薦
深圳特信屏蔽器|4G5G手機信號屏蔽器:如何高效應對信息泄露風險.
深圳特信屏蔽器|4G5G手機信號屏蔽器:如何高效應對信息泄露風險隨著移動通信技術的飛速發(fā)展,4G和5G網(wǎng)絡已經(jīng)成為我們?nèi)粘I钪胁豢苫蛉钡囊徊糠帧H欢谀承┨囟▓龊希缈荚嚒h或保密環(huán)境中,我們
發(fā)表于 05-20 09:01
STM32系列單片機可以讓自己的GPIO去控制自己的RESET嗎?有什么風險?可以規(guī)避嗎?
STM32系列單片機可以讓自己的GPIO去控制自己的RESET嗎?有什么風險?可以規(guī)避嗎?
發(fā)表于 10-25 09:45
關于手機串號泄露會造成什么風險
此問題屬于什么我也不清楚。小白一個。本人所在公司統(tǒng)計我們使用的手機串號,以及讓下載一個app。聽以前的同事說,手機會被監(jiān)控,哪怕把軟件泄露了還是會被監(jiān)控,所以請大神能給予解答。統(tǒng)計上報的是在撥號頁面點擊*#06#后出現(xiàn)的那幾排數(shù)字,希望有高手給予解答,謝謝您
發(fā)表于 07-15 22:23
labview調(diào)用PsyQrDcd.dll 實現(xiàn)QR code識別,可以識別一張圖片中的多個QR CODE
。GetDecodeDataString獲取QR CODE字符串FreeAllocateMemoryPsyQrDcd有內(nèi)存泄露風險,最后調(diào)用此函數(shù)具體請參考附件。這三個基本的函數(shù)可以獲取到QR CODE,PsyQrDcd是否
發(fā)表于 10-20 18:16
怎樣選擇合適的服務器規(guī)避風險
怎樣選擇合適的服務器規(guī)避風險
面對各式各樣的服務器產(chǎn)品層出不窮,卻讓用戶們看花了眼,是選擇RISC還是X86,是選擇多路服務器還是選擇多核
發(fā)表于 01-27 13:37
?372次閱讀
高危預警!雅虎30億用戶數(shù)據(jù)被竊,千萬中國用戶信息遭遇危機
據(jù)有關報道,雅虎向外宣布30億用戶信息被盜,其中還有千萬中國用戶面信息面臨泄露風險,這一泄露簡直就是“半個世界”被盜的感覺。
發(fā)表于 10-12 16:17
?1005次閱讀
智能電視存在隱私泄露風險 這個問題不容忽視
之前曾有報告稱智能電視存在隱私泄露的風險,近日美國聯(lián)邦調(diào)查局也發(fā)布警告稱相關的智能電視產(chǎn)品存在著對用戶個人隱私泄露的風險。
發(fā)表于 12-02 15:48
?1807次閱讀
人臉識別技術成常態(tài)防疫好幫手,謹慎信息泄露風險等
刷臉解鎖、刷臉支付、刷臉進校園……近幾年,人臉識別技術不斷取得突破,應用場景逐漸拓展,進一步便利了我們的生活,在疫情防控常態(tài)化階段更是大顯身手。與此同時,仍有一些問題困擾著行業(yè)發(fā)展,比如在非必要場景過度引入、存在信息泄露風險等。
發(fā)表于 08-28 15:12
?1169次閱讀
“刷臉”如何規(guī)避安全風險?
購物時“刷臉”支付,乘火車時“刷臉”進站,使用智能終端時“刷臉”解鎖……如今,人臉識別的應用場景日益豐富。與此同時,有部分用戶認為人臉識別技術有信息泄露、濫用趨勢。“刷臉”如何規(guī)避安全風險?相關話題頻頻引發(fā)熱議。
【openssl】從openssl的常用接口淺談【內(nèi)存泄漏】
使用openssl有內(nèi)存泄露風險嗎?從openssl的常用接口調(diào)用淺談【內(nèi)存泄漏】的風險和規(guī)避。
【開獎】無懼可穿戴產(chǎn)品數(shù)據(jù)泄露風險 安全芯片護您周全
此 次Excelpoint世健 《無懼可穿戴產(chǎn)品數(shù)據(jù)泄露風險? 安全芯片護您周全 》 答題贏好禮活動受到了廣大工程師的熱烈歡迎。感謝各位的積極參與! 答案揭曉 先來一起揭曉一下正確答案吧~ 1.
做好人工智能發(fā)展的風險防范
一是放大隱私信息泄露風險。當前,人工智能開發(fā)者和服務提供者可能利用用戶數(shù)據(jù)進行優(yōu)化訓練,但相關服務條款卻并未對數(shù)據(jù)使用做出解釋說明,可能涉及在用戶不知情情況下收集個人信息、商業(yè)秘密等,安全風險較為突出。
如何規(guī)避軟件測試項目的風險
軟件測試 工作中常見的風險有哪些,作為測試人員我們應該如何規(guī)避呢? ** 1、需求的風險** 其實存在于測試各階段,例如:測試人員對需求理解有誤、測試后期需求改動。 規(guī)避措施: 1)測
工商網(wǎng)監(jiān)
評論