这是一个创建于 46 天前的主题,其中的信息可能已经有所发展或是发生改变。
存放配置文件的 git repo 在开发环境、同步一份到 prod 。
staging 和 prod 用 argocd 连到不同的 git repo 上读取配置。
按照安全标准开发环境是不允许有生产环境的 credentials ,除非进行了加密。
但是众所周知 k8s 默认的 secret 只是 base64 编码,不是加密。
1. 不写的话服务缺少依赖跑不起来,得分别去几个不同的集群手动添加 secret 。
2. 如果上 vault 这种又有点重,引入了新的组件和维护成本。
有啥最佳实践么?
staging 和 prod 用 argocd 连到不同的 git repo 上读取配置。
按照安全标准开发环境是不允许有生产环境的 credentials ,除非进行了加密。
但是众所周知 k8s 默认的 secret 只是 base64 编码,不是加密。
1. 不写的话服务缺少依赖跑不起来,得分别去几个不同的集群手动添加 secret 。
2. 如果上 vault 这种又有点重,引入了新的组件和维护成本。
有啥最佳实践么?
8 条回复 • 2024-07-25 12:41:21 +08:00
 |
1
momo2789 45 天前
我在用 Helm Secrets ,生产测试 secrets 存在 GCP Secret Manager
|
 |
2
zx900930 OP @momo2789 有 saas 服务真好,air-gapped 干啥都跟带着脚镣跳舞一样。
我想到是否可以用 git-crypt 这种,在 git 上直接加密 secret 文件,然后 argocd 在 pull 的时候解密,唯一的问题就是这个用来加密的私钥没法定期更新。 |
 |
3
oldboy627 45 天前
你可以使用 openssl 加密,然后创建 tls 类型的 secrets ,在 pod 上创建一个 init container 进行 ssl 反向解密并把这个 secrets 以 volume 方式或者注入环境变量方式给 pod 容器。
|
|
4
zx900930 OP |
 |
5
zed1018 45 天前
但是集群访问以及资源不都是有访问控制的吗,secret 本身加密与否没有那么重要吧
|
|
6
zx900930 OP |
Select Language