Шифрование секретных данных в хранилище kubernetes etcd

Question

Шифрование секретных данных в хранилище kubernetes etcd

По умолчанию все данные, хранящиеся в etcd, не зашифрованы, для производственных развертываний некоторые данные, хранящиеся в etcd, должны быть зашифрованы, например, секреты. Есть ли способ хранить секреты в зашифрованном виде в etcd, дефолт.

1

kubernetes security encryption etcd confidentiality

Источник

user4550110 20 окт '18 в 23:40

1 ответ

Решение

Другие вопросы по тегам kubernetes security encryption etcd confidentiality

user2718151 21 окт '18 в 00:28 2018-10-21 00:28 · Accepted Answer · 2018-10-21 00:28

Чтобы иметь шифрование, вы должны проинструктировать apiserver сервис с этим параметром:

--experimental-encryption-provider-config=/var/lib/kubernetes/encryption-config.yaml

где файл yaml содержит это:

kind: EncryptionConfig
apiVersion: v1
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            - name: key1
              secret: ${ENCRYPTION_KEY}
      - identity: {}

здесь провайдер aescbc (самое сильное шифрование) и переменная генерируется раньше:

ENCRYPTION_KEY=$(head -c 32 /dev/urandom | base64)

Посмотрите на эти документы:

https://kubernetes.io/docs/tasks/administer-cluster/encrypt-data/
https://github.com/kelseyhightower/kubernetes-the-hard-way/blob/master/docs/06-data-encryption-keys.md (и следующие файлы md)