問題タブ [kubernetes-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-cloud-platform - 暗号化に使用される KMS キーを削除した後でも GKE シークレットを取得する
このドキュメントに従って、アプリケーション レイヤのシークレットの暗号化--database-encryption-keyを有効にするための KMS キーを提供するフラグを使用して、GKE クラスタ (1.13.6-gke.6) を作成しました。
次のコマンドを使用してシークレットを作成しました。
したがって、私の仮定が正しければ、これらのシークレットは、クラスターの作成中に提供された KMS キーを使用して暗号化されて保存されます。ただし、使用したキーのすべてのバージョンを破棄した後でも、以下のマニフェストを使用して作成された Pod で確認できるだけでなく、GKE 内に保存されているシークレットetcdも確認できます。kubectl get secret dev-db-secret -o yaml
上記のポッドに実行して実行するecho SECRET_USERNAMEとecho SECRET_PASSWORD、ユーザー名とパスワードがコンソールにプレーンテキストで出力されます。
これは、暗号化が機能するはずの方法ですか?はいの場合、暗号化は正確にどこで行われていますか? 私は何を間違っていますか?シークレットは本当に暗号化されていますか?
kubernetes - kubernetes デプロイメント内で securityContext をセットアップする
展開で nfs マウント ボリュームを使用しています。以下のように fsGroup を指定する必要があります。
配置マニフェストでこれを行う方法はありますか? ドキュメントでわかるように、pod yaml でのみ securitycontext を設定できます。
kubernetes - GKE: 権限の詳細を表示する
GKE クラスタを操作していて、自分の権限を理解しようとしています
ただし、自分に関連付けられているロールが表示されません。
クラスタとどのようにやり取りしていk8sますか?
whoami と自分の権限を確認するにはどうすればよいですか?
kubernetes - サービス アカウント トークンの正確な名前を設定することは可能ですか?
サービス アカウント ベアラー トークンによって認証された Traefik を介して docker レジストリをセットアップしようとしています。問題は、デフォルトのサービス トークン シークレットの名前がランダムな文字で終わっていることです。これは Ingress 構成に渡すことができませんか?
とにかく、どうにかして Kubernetes に予測可能な方法でトークンに名前を付けるように強制したいと考えています。
現在の解決策は、API トークンを手動で作成することです。
残念ながら、元のランダムな名前のトークンはまだシステムに残っており、削除できません。
サービス アカウントの前に作成された場合は削除されますが、その後はランダム化されたシークレットが削除されます。
kubernetes - サービスへの認証に Istio API キーを使用する方法
API キーの作成方法については、istio で次のドキュメントを見つけました。
https://istio.io/docs/reference/config/policy-and-telemetry/templates/apikey/
しかし、サービスを保護するために使用する方法に関するドキュメントや例を見つけることができません。
誰でも助けることができますか?