Kubernetes 密钥管理:从 KMS 到 Vault

AI 编程助手,豆包旗下的编程助手,提供智能补全、智能预测、智能问答等能力,节省开发时间,释放脑海中的创造力,支持 VSCode,点击体验 AI

Kubernetes 是一种流行的容器编排工具,可以帮助开发团队更好地管理分布式应用程序。与分布式系统相关的一个关键方面是安全性。在这里,我们将深入了解 Kubernetes 中的密钥管理,包括使用 Kubernetes 原生KMS 和 HashiCorp Vault 两种方法。

Kubernetes 原生 KMS

Kubernetes 原生 KMS 是 Kubernetes 1.10 引入的一项新功能。它使用了一个名为“密钥”,它是一种 Kubernetes 资源类型,可以与其他资源对象一样进行管理。容器在启动时可以通过访问密钥并使用其中存储的敏感信息来配置自身。

创建 Kubernetes 密钥

为了创建 Kubernetes 密钥,我们可以使用以下 YAML 清单:

----------- --
----- ------
---------
  ----- -------------
----- ------
-----
  ------------ ----------------
  ------------ -----------------
  -------- -----------------

这个 YAML 清单包括了创建一个名为 my-app-config 的密钥。这个密钥包括三个不同的数据项:db-username、db-password 和 api-key。每个数据项都被编码为 Base64 编码字符串。

从 Kubernetes 密钥中读取敏感信息

上面已经介绍了如何创建 Kubernetes 密钥,接下来我们将介绍如何从密钥中读取敏感信息。

假设我们有一个正在运行的名为 my-app 的容器。要从 my-app-config 密钥中读取 db-username,我们可以在 my-app 容器内运行以下命令:

------- --- ------ ------------- -- ---------------------------- - ------ --

这个命令将从 Kubernetes 密钥 my-app-config 中读取 db-username 数据项,并将其解码为实际值。我们可以在 my-app 容器中使用这个值来配置数据库连接。

HashiCorp Vault 集成

除了 Kubernetes 原生 KMS,还有许多其他的密钥管理解决方案可供选择。HashiCorp Vault 是一个流行的密钥管理工具,可以与 Kubernetes 集成,以提供更高级别的密钥管理功能。

部署 HashiCorp Vault

在本地环境中快速部署 Vault:

------ --- ------------------ -- ------------------------------- -- --------- ---------------- ------------

这个命令将启动一个名为 vault-dev 的 Docker 容器,并将其绑定到主机上的 8200 端口。该容器还将配置 dev 模式的 Vault,其中包括预设的根令牌 my-root。对于生产环境,您应该考虑使用更强大的身份验证机制和存储引擎。

在 Kubernetes 中创建 HashiCorp Vault 机密步骤

要将 Vault 与 Kubernetes 集成,您需要为 Kubernetes 创建一个称为 'ServiceAccount'的资源。您还需要许可证该ServiceAccount在Vault中创建'TokenReview'对象。

这些步骤可以通过以下 Kubernetes YAML 清单执行:

--- ----- - ------- ----- -- -
----------- --
----- --------------
---------
  ----- ----------
---
----------- ----------------------------
----- ----
---------
  ----- ----------
------
  - ---------- -------------------------
    ---------- ----------------
    ------ ----------
---
----------- ----------------------------
----- -----------
---------
  ----- ----------
--------
  --------- -------------------------
  ----- ----
  ----- ----------
---------
  - ----- --------------
    ----- ----------
---

启用 Kubernetes Auth 方法

启用 Vault 的 Kubernetes Auth 方法,以便 Vault 可以验证由 Kubernetes 生成的凭据。首先,启用 Kubernetes Auth 方法:

----- ---- ------ ---------------- ----------

执行上面的命令后,您需要使用 kubectl 获取 Kubernetes 证书和地址,并将其提供给 Vault:

----------------------- --- -- ---------- -- ---------------------------------
---------------------- --- ------ -------------- -- ------------------------ - ------ --------- -----
------------------- --- ------ -------------- -- ----------------------------- - ------ --------- -----
-----------------------

接下来,要配置 Vault,使之匹配正确的信息:

----- ----- ---------------------- -
        ---------------------------------- -
        --------------------------------------- -
        -------------------------------

在 Vault 中存储机密数据

我们可以在 Vault 中创建一个名为 my-app-creds 的机密,来存储应用程序的凭据。要创建这个机密,我们可以运行以下命令:

----- -- --- ------------------- ---------------- -----------------

在 Kubernetes 中使用 Vault 密钥

现在,我们已经在 Vault 中创建了一个名为 my-app-creds 的机密,下一步是将其与 Kubernetes 中的容器一起使用。

为此,我们首先需要创建一个称为 'VaultSecret' 的 Kubernetes Secret。该Secret 将与 Pod 卷一起使用,以从 Vault 中获取Secret。我们需要以下 Kubernetes YAML 清单:

----------- ----
----- --------
---------
  ----- --------------
----- --------
-----
  ------------ -------- ------- --- --- -------

将正确的值替换到第 6 行。

然后,我们需要为我们的容器定义一个容器卷,以将 VaultSecret 与容器卷一起使用。

----------- --
----- ---
---------
  ----- -------------
-----
  -----------
    - ----- ----------------
      ------ -------------
      -------------
        - ----- ------------
          ---------- --------------------------------
  --------
    - ----- ------------
      -------
        ----------- ------------

结论

本文深入了解了 Kubernetes 密钥管理,并提供了使用 Kubernetes 原生 KMS 和HashiCorp Vault 的示例。无论您选择什么工具,密钥管理都是保障您应用程序安全性的关键因素。希望这篇文章能够为您提供一些详细和有深度的学习。

来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/672878412e7021665e20563e


猜你喜欢

  • Next.js + Redis:如何使用缓存加速你的应用程序

    在前端开发过程中,应对大量请求数和处理复杂数据逻辑可是一项非常具有挑战性的任务。如果你的应用程序需要执行大量计算,每次请求都要从数据库中获取数据,那么这将会导致应用程序处理速度慢。

    6 天前
  • 在使用 Socket.io 连接时遇到 ECONNREFUSED 的问题怎么办

    Socket.io 是一个基于 WebSockets 的实时通讯库,它允许开发人员在浏览器和服务器之间建立实时、双向的通讯。在实际使用 Socket.io 连接时,我们可能会遇到一些问题,其中最常见的...

    6 天前
  • ES7 中新增的 Object.setPrototypeOf 方法的详细教程

    在 ES7 中新增了一个 Object.setPrototypeOf() 方法,可以用来设置一个对象的原型,该对象会继承原型对象的所有属性和方法。在这篇文章中,我们将深入了解 Object.setPr...

    6 天前
  • 浏览器前端与后端通信技术之 HTML5 Server-sent Events 详解

    在现代 Web 应用中,前后端的实时通信一直都是一个挑战。传统的方式包括轮询、长轮询和 WebSocket,它们都有各自的优缺点,但它们对于不同的场景和需求不一定都适用。

    6 天前
  • 最全面的 CSS Reset 解决方案库一览

    CSS Reset 是一种常用的清除默认样式,规范浏览器样式表的操作。它的作用是让各个浏览器更加统一地显示相同的 HTML 元素样式,同时让开发者更方便地编写自己的样式代码。

    6 天前
  • 如何在 Headless CMS 中检索特定节点的祖先或后代?

    在使用 Headless CMS 构建网站或应用程序时,常常需要查询特定节点的祖先或后代。这些操作有助于实现复杂的功能,如导航菜单、面包屑导航和类别筛选等。本文将介绍如何使用一些常见的 JavaScr...

    6 天前
  • 使用 Angular2+ 开发的注意事项

    前言 Angular2+ 是一种受欢迎的前端开发框架,它在网页开发中有着广泛的应用。但是,对于初学者来说,学习 Angular2+ 并不是一件容易的事情。在本文中,我们将介绍 Angular2+ 开发...

    6 天前
  • 响应式设计与 SEO 优化的结合技巧

    随着移动设备的普及,响应式设计已经成为现代化网站设计的标准之一。然而,网站的设计并不只是为了视觉上的美观和易用性,也需要考虑 SEO(搜索引擎优化)的因素。在本文中,我们将探讨如何在响应式设计和 SE...

    6 天前
  • koa 与 mongoose 集成,苦练内功后的天下无敌

    前言 随着互联网的不断发展,Web 应用的开发也越来越成熟。前端与后端分离的架构风格也越来越普及,前端开发者除了熟悉 HTML、CSS、JavaScript 之外,还需要对 Web 应用的后端开发有一...

    6 天前
  • 使用 Node.js 实现基于 RethinkDB 的实时数据库教程

    在 Web 开发中,数据是永恒的核心。实际上,当我们构建任何 Web 应用时,我们都需要一个数据库来存储和管理数据。而在近年来,实时数据库日益受到开发者的关注,因为它们提供了即时更新和数据可视化的能力...

    6 天前
  • Vue.js 开发中如何控制整洁代码的编写

    Vue.js 是一个流行的 JavaScript 框架,它被开发用于构建交互式、响应式的单页应用程序。在 Vue.js 开发过程中,代码的清晰度和可读性是非常重要的。

    6 天前
  • 使用 Chai 和 Puppeteer 进行 Headless 浏览器测试的步骤

    作为前端开发人员,我们需要对应用程序进行测试,以确保其功能正常。为了测试应用程序,我们通常使用浏览器自动化测试工具。其中,Puppeteer 是一个优秀的 Headless 浏览器测试框架,其可以完全...

    6 天前
  • 解决 WAI-ARIA 在 iOS VoiceOver 模式下发生冲突的问题

    背景介绍 WAI-ARIA(Web Accessibility Initiative - Accessible Rich Internet Applications)是由 W3C(World Wide...

    6 天前
  • Promise 中错误处理的常见陷阱及解决办法

    前言 在前端开发中,异步处理已经成为了必不可少的一环。为了简化异步操作,我们通常使用 Promise。Promise 是一种基于回调函数的异步处理方式,它非常强大和灵活,但同时也存在一些陷阱。

    6 天前
  • 使用 React Router 实现页面跳转动画

    React Router 是一个流行的 React 应用程序路由库,它可以让您轻松地在应用程序中实现导航和页面跳转的功能。但是,默认情况下,它不会提供任何页面跳转动画的效果,这就需要我们手动添加一些过...

    6 天前
  • 尝试降低 Socket.io 的初始连接耗时

    Socket.io是前端开发中广泛使用的实时数据传输库,然而在网络质量不稳定的情况下,它的初始连接往往需要花费很长时间。本文将介绍一些方法来尽可能地减少Socket.io初始连接的耗时,并提供相应的示...

    6 天前
  • ES7 的 Math.imul 方法的使用技巧及在位运算中的应用

    1. 引言 ECMAScript 2016(即 ES7)引入了新的 Math.imul 方法,用于将两个数字相乘并返回其低位和高位组成的 64 位值,旨在提高运算精度和性能,同时也适用于位运算中的应用...

    6 天前
  • Hapi.js 生产环境性能优化经验分享

    Hapi.js 是一个现代化的 Node.js 服务器框架,它提供了丰富的功能和灵活的扩展性。在开发大型 Web 应用程序的过程中,Hapi.js 在团队效率和代码质量方面有很多优势。

    6 天前
  • 深入理解 HTML5 Server-sent Events

    在前端开发中,实时数据展示已经变得越来越普遍,而 HTML5 Server-sent Events(SSE)则是一种推送技术,用于在客户端和服务器之间建立一个联系,并将数据实时推送给客户端。

    6 天前
  • TypeScript 中如何使用 postcss 处理 CSS

    随着 Web 技术的发展,前端开发变得越来越复杂。CSS 框架和预处理器的出现,有效地减少了前端开发的工作量,同时也提升了开发效率。而 PostCSS 作为一个基于插件的 CSS 处理器,则为我们提供...

    6 天前

相关推荐

    暂无文章