3

有了 Kubernetes 集群,将配置/密码发送到容器中的替代方法是什么?我知道秘密方式,但我正在寻找的是一个集中式环境,它对密码进行了加密,而不是 base64 编码。

4

2 回答 2

4

您也可以考虑Kamus

适用于 Kubernetes 应用程序的开源 GitOps 零信任密钥加密和解密解决方案。

Kamus 使用户能够轻松地加密秘密,而不是只能由运行在 Kubernetes 上的应用程序解密。
使用强加密提供程序(当前支持:Azure KeyVault、Google Cloud KMS 和 AES)完成加密。
要了解有关 Kamus 的更多信息,请查看博客文章幻灯片

helm repo add soluto https://charts.soluto.io
helm upgrade --install kamus soluto/kamus

架构:Kamus 有 3 个组件:

  • 加密 API
  • 解密 API
  • 密钥管理系统 (KMS)

加密和解密 API 处理加密和解密请求。KMS 是各种加密解决方案的包装器。目前支持:

  • AES - 对所有机密使用一个密钥
  • Azure KeyVault - 为每个服务帐户创建一个密钥。
  • Google Cloud KMS - 为每个服务帐户创建一个密钥。
于 2019-02-22T17:33:43.483 回答
3

你应该试试HashiCorp 的Vault

保险柜的主要特点是:

  • 安全的秘密存储
  • 动态秘密
  • 数据加密
  • 租赁和更新
  • 撤销

这是使用 Vault + Kubernetes的示例

于 2019-02-05T21:10:57.310 回答