問題タブ [kubernetes-secrets]

このドキュメントに従って、アプリケーション レイヤのシークレットの暗号化--database-encryption-keyを有効にするための KMS キーを提供するフラグを使用して、GKE クラスタ (1.13.6-gke.6) を作成しました。

次のコマンドを使用してシークレットを作成しました。

したがって、私の仮定が正しければ、これらのシークレットは、クラスターの作成中に提供された KMS キーを使用して暗号化されて保存されます。ただし、使用したキーのすべてのバージョンを破棄した後でも、以下のマニフェストを使用して作成された Pod で確認できるだけでなく、GKE 内に保存されているシークレットetcdも確認​​できます。kubectl get secret dev-db-secret -o yaml

上記のポッドに実行して実行するecho SECRET_USERNAMEとecho SECRET_PASSWORD、ユーザー名とパスワードがコンソールにプレーンテキストで出力されます。

これは、暗号化が機能するはずの方法ですか？はいの場合、暗号化は正確にどこで行われていますか? 私は何を間違っていますか？シークレットは本当に暗号化されていますか?

kubernetes環境でelasticsearchのシークレット機能を利用しています。
現在使用されている証明書の配布に問題があります。Elasticsearch がデフォルトで
使用する.p12形式の証明書を使用します。https を使用するには、すべての POD が Kubernetes シークレットを使用して証明書を共有する必要があります。しかし、
kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt

上記のようなコマンドは使用できず、.yaml ファイルでシークレットを生成する必要があります。
ただし、.yamlファイルを作成すると、base64 エンコードされません。どうすれば解決できますか？

最後に、.yamlの書き方を知りたいですか? 以下の例は機能しません。 https://kubernetes.io/docs/concepts/configuration/secret/