1
momo2789 156 天前
我在用 Helm Secrets ,生产测试 secrets 存在 GCP Secret Manager
|
2
zx900930 OP @momo2789 有 saas 服务真好,air-gapped 干啥都跟带着脚镣跳舞一样。
我想到是否可以用 git-crypt 这种,在 git 上直接加密 secret 文件,然后 argocd 在 pull 的时候解密,唯一的问题就是这个用来加密的私钥没法定期更新。 |
3
oldboy627 156 天前
你可以使用 openssl 加密,然后创建 tls 类型的 secrets ,在 pod 上创建一个 init container 进行 ssl 反向解密并把这个 secrets 以 volume 方式或者注入环境变量方式给 pod 容器。
|
4
zx900930 OP |
5
zed1018 156 天前
但是集群访问以及资源不都是有访问控制的吗,secret 本身加密与否没有那么重要吧
|
6
zx900930 OP |