security - 加密 kubernetes etcd 存储中的秘密数据

Question

默认情况下，etcd中存储的所有数据都没有加密，对于生产部署，etcd中存储的一些数据需要加密，例如secrets，有没有办法将secrets以加密的方式存储在etcd中，通过默认。

Answer 1

要进行加密，您需要apiserver使用此参数指示服务：

--experimental-encryption-provider-config=/var/lib/kubernetes/encryption-config.yaml

yaml 文件包含以下内容：

kind: EncryptionConfig
apiVersion: v1
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            - name: key1
              secret: ${ENCRYPTION_KEY}
      - identity: {}

这里提供者是 aescbc（最强加密），变量是在之前生成的：

ENCRYPTION_KEY=$(head -c 32 /dev/urandom | base64)

看看这些文件：

• https://kubernetes.io/docs/tasks/administer-cluster/encrypt-data/

• https://github.com/kelseyhightower/kubernetes-the-hard-way/blob/master/docs/06-data-encryption-keys.md（以及以下md文件）