問題タブ [kubernetes-secrets]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - Kubernetes シークレットとサービス アカウント
私は過去 6 か月間 kubernetes を使用しており、いくつかのサービスをデプロイしました。
暗号化されたデータを保存し、キーを KMS に格納する別のものを展開しようとしています。これには、データ用とキー用の 2 つのサービス アカウントが必要です。
これへのデータ アクセスは監査する必要があります。このデータへのアクセスは非常に機密であるため、攻撃者が監査を受けずにデータとキーへのアクセスを取得できる方法で侵害されたかのように、名前空間に両方のサービス アカウントを配置することには消極的です。
今のところ、シークレットに 1 つのキーがあり、もう 1 つのキーは単一のポッドに手動で投稿します。
1 人の人物がこの鍵を信頼する必要があり、スケーラビリティが制限されるため、これは恐ろしいことです。幸いなことに、このサービスは非常に少量です。
他の誰かが同じ問題に直面しましたか? どうやってそれを回避しましたか?
乾杯
要件
- 1 人のユーザーが両方のキー (データストアと KMS) にアクセスすることはありません。
kubernetes - すべてのシークレットを環境変数として kubernetes デプロイメントに挿入します
非常に冗長になるk8展開に渡すシークレットが数十あります。以下は、シークレットからredisシークレットを渡す例ですredis-secrets。
redis-secretsシークレットのキーを環境変数キーにして、すべてのシークレットを展開に渡すことは可能ですか?