简介:为什么需要SealedSecret?
在gitops的理念中,我们的一切配置都是放在git仓库中的,这个其中就包含了我们的敏感信息例如用户名/密码/数据库连接/数据库访问秘密等,这些如果还是依赖于secret的base64加密的话就显得相形见绌了。
系列文章同步更新中:
argocd的secret管理之SealedSecret:在git里面加密敏感配置
argocd告警管理之notification服务:让你第一时间得到argocd app的状态信息
argocd蓝绿/金丝雀发布之rollout: 快速方便的启用基于gitops的蓝绿/金丝雀发布
gitops之argocd
一,安装SealedSecret:
1, 安装
1.1 安装时需要注意,SealedSecret也是一个operator。他的作用就是将你用SealedSecret加密的变量解密成k8s的secret,所以在k8s界面你还是能看到原来的sealedsecret,另外k8s 也是不支持这种非默认资源的显示的,但是使用argocd能帮我们看到:
1.2 通过kubectl直接安装
##这个安装默认会安装到你的kube-system 里面去 基本一个pod就够了
$ kubectl apply -f https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.12.4/controller.yaml
Once you deploy the manifest it will create the SealedSecret resource and install the controller into kube-system namespace, create a service account and necessary RBAC roles.
After a few moments, the controller will start, generate a key pair, and be ready for operation. If it does not, check the controller logs.
二,如何使用SealedSecret:
2.1 如何获取到你的SealedSecret加密公钥?
入上图所示,找到sealed-secrets-controller pod,日志里面会输出当前管理的公钥,现在的最新版本中会一个月更新一次公钥,理论上来讲之前用公钥加密的敏感配置不受影响。一个月以后需要加密的配置请查看日志产生的最新公钥。
2.2 首先安装客户端并且生成相应的加密yaml
#1. 在一台linux机器上执行以下几步:
>wget https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.10.0/kubeseal-linux-amd64 -O kubeseal
>sudo install -m 755 kubeseal /usr/local/bin/kubeseal
#2. 准备一个base64加完秘的secret.yaml文件
apiVersion: v1
kind: Secret
metadata:
name: <secret-name> #直接写死
namespace: <namespace> #直接写死,它会根据你的namespace 来生成加密,意思在别的ns下是不能解密成功的
type: Opaque
data:
mysql_usename: dXNlbmFtZQo= #value 已经base64加完秘
mysql_password: cGFzc3dvcmQK
#3. 通过如下命令立马生成加密文件
kubeseal --format=yaml --cert=public-cert.pem < ${你的原始secret.yaml文件} > ${生成后的sealedsecret文件名字} #注意尖括号<>不能去掉
2.3 通过argocd 部署你的SealedSecred
apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
creationTimestamp: null
labels:
app.kubernetes.io/instance: cost-service
name: demo-secret
namespace: argocd-demo
spec:
encryptedData:
password: >- AgATaSIAkO5e5WN9dTt1WAm6zbHa2s92GoLktDebNselXHPBiWYZi05rFJMN5RUvYHQKcQoRSakzkhd****
template:
metadata:
creationTimestamp: null
name: demo-secret
namespace: argocd-demo
type: Opaque
###SealedSecret 清单文件就像上面这个样子,我们可以通过kubectl或者argocd将其部署到k8s
