Каким будет альтернативный способ отправки конфигураций / паролей в контейнеры при наличии кластера Kubernetes? Я знаю о способе секретов, но я ищу централизованную среду с зашифрованным паролем, а не в кодировке base64.
Альтернатива Kubernetes с секретами
Ответы (2)
Вы также можете рассмотреть Камуса:
Решение для шифрования и дешифрования секретов с открытым исходным кодом, GitOps и нулевым доверием для приложений Kubernetes.
Kamus позволяет пользователям легко шифровать секреты, которые могут быть расшифрованы только приложением, работающим в Kubernetes.
Шифрование выполняется с использованием надежных поставщиков шифрования (в настоящее время поддерживаются: Azure KeyVault, Google Cloud KMS и AES).
Чтобы узнать больше о Камусе см. в блоге и слайды.
helm repo add soluto https://charts.soluto.io
helm upgrade --install kamus soluto/kamus
Архитектура: Камус состоит из 3 компонентов:
- Шифровать API
- Расшифровать API
- Система управления ключами (KMS)
API шифрования и дешифрования обрабатывают запросы на шифрование и дешифрование. KMS - это оболочка для различных криптографических решений. В настоящее время поддерживаются:
- AES - использует один ключ для всех секретов
- Azure KeyVault - создает один ключ для каждой учетной записи службы.
- Google Cloud KMS - создает один ключ для каждой учетной записи службы.
person
VonC
schedule
22.02.2019
Автор Kamus здесь - был бы рад помочь с любыми вопросами об использовании Kamus и услышать ваш опыт, VonC благодарит за рекомендацию Kamus! Как вы с этим столкнулись?
- person Omer Levi Hevroni; 04.03.2019
@OmerLeviHevroni Только поиск: у меня не было возможности протестировать его, но он выглядит великолепно.
- person VonC; 05.03.2019
@OmerLeviHevroni Привет, Омер, есть ли план поддержки контейнера инициализации для монтирования в переменные среды? обходной путь, если я не ошибаюсь, - это смонтировать файлы, затем установить эти переменные env из файлов, а затем удалить файлы?
- person ArielB; 03.09.2019
Мы не планируем напрямую поддерживать env vars, так как при их использовании возникают некоторые проблемы с безопасностью. В качестве альтернативы вы можете использовать KamusSecret, чтобы создать обычный секрет и установить его.
- person Omer Levi Hevroni; 04.09.2019