как я могу локально расшифровать уже запечатанные секреты?
У меня вопрос по поводу использования секретов .
Решение SealedSecrets решает нашу проблему: иметь возможность хранить секреты в нашей системе контроля версий. Однако мы хотим иметь возможность повторно создавать простой секретный файл из файла с запечатанным секретом (уже зашифрованного с помощью kubeseal). Вариант использования: вы заходите в существующий репозиторий, клонируете его и хотите узнать, каковы фактические секретные значения на вашем локальном компьютере.
- Можно ли это сделать с помощью kubeseal?
- Если нет, то как вы рекомендуете добиться такого поведения? Может быть, например, интеграция с облачным менеджером секретов?
Насколько я понимаю, это противоречит цели запечатанных секретов, учитывая, что я хочу расшифровать их вне контроллера Kubernetes. Но я надеюсь, что этот вариант использования имеет смысл, и я получу несколько рекомендаций, как этого добиться.
1 ответ
Да, расшифровать можно только скачав запечатанный секретный ключ. Таким образом, вы можете сделать то же самое, что и контроллер. У вас должен быть доступ к пространству имен, где установлен Sealed Secrets.
Просто проверьте, еслиkubectl podsилиkubectl nodesпокажите ресурсы в правом кластере и:
kubectl get secret -n sealed-secrets -l sealedsecrets.bitnami.com/sealed-secrets-key -o yaml > sealed-secrets-key.yaml
kubeseal --controller-name=sealed-secrets --controller-namespace=sealed-secrets < /tmp/sealed-secret.yaml --recovery-unseal --recovery-private-key sealed-secrets-key.yaml -o yaml
/tmp/sealed-secret.yamlваш файл находится в системе контроля версий. Вы также можете найти любой засекреченный секрет по адресу:kubectl get sealedsecrets -Aи передать его.
Ссылка: