簡介:為什么需要SealedSecret?
在gitops的理念中,我們的一切配置都是放在git倉庫中的,這個其中就包含了我們的敏感信息例如用戶名/密碼/數據庫連接/數據庫訪問秘密等,這些如果還是依賴于secret的base64加密的話就顯得相形見絀了。
系列文章同步更新中:
argocd的secret管理之SealedSecret:在git里面加密敏感配置
argocd告警管理之notification服務:讓你第一時間得到argocd app的狀態信息
argocd藍綠/金絲雀發布之rollout: 快速方便的啟用基于gitops的藍綠/金絲雀發布
gitops之argocd
一,安裝SealedSecret:
1, 安裝
1.1 安裝時需要注意,SealedSecret也是一個operator。他的作用就是將你用SealedSecret加密的變量解密成k8s的secret,所以在k8s界面你還是能看到原來的sealedsecret,另外k8s 也是不支持這種非默認資源的顯示的,但是使用argocd能幫我們看到:
1.2 通過kubectl直接安裝
##這個安裝默認會安裝到你的kube-system 里面去 基本一個pod就夠了
$ kubectl apply -f https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.12.4/controller.yaml
Once you deploy the manifest it will create the SealedSecret resource and install the controller into kube-system namespace, create a service account and necessary RBAC roles.
After a few moments, the controller will start, generate a key pair, and be ready for operation. If it does not, check the controller logs.
二,如何使用SealedSecret:
2.1 如何獲取到你的SealedSecret加密公鑰?
入上圖所示,找到sealed-secrets-controller pod,日志里面會輸出當前管理的公鑰,現在的最新版本中會一個月更新一次公鑰,理論上來講之前用公鑰加密的敏感配置不受影響。一個月以后需要加密的配置請查看日志產生的最新公鑰。
2.2 首先安裝客戶端并且生成相應的加密yaml
#1. 在一臺linux機器上執行以下幾步:
>wget https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.10.0/kubeseal-linux-amd64 -O kubeseal
>sudo install -m 755 kubeseal /usr/local/bin/kubeseal
#2. 準備一個base64加完秘的secret.yaml文件
apiVersion: v1
kind: Secret
metadata:
name: <secret-name> #直接寫死
namespace: <namespace> #直接寫死,它會根據你的namespace 來生成加密,意思在別的ns下是不能解密成功的
type: Opaque
data:
mysql_usename: dXNlbmFtZQo= #value 已經base64加完秘
mysql_password: cGFzc3dvcmQK
#3. 通過如下命令立馬生成加密文件
kubeseal --format=yaml --cert=public-cert.pem < ${你的原始secret.yaml文件} > ${生成后的sealedsecret文件名字} #注意尖括號<>不能去掉
2.3 通過argocd 部署你的SealedSecred
apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
creationTimestamp: null
labels:
app.kubernetes.io/instance: cost-service
name: demo-secret
namespace: argocd-demo
spec:
encryptedData:
password: >- AgATaSIAkO5e5WN9dTt1WAm6zbHa2s92GoLktDebNselXHPBiWYZi05rFJMN5RUvYHQKcQoRSakzkhd****
template:
metadata:
creationTimestamp: null
name: demo-secret
namespace: argocd-demo
type: Opaque
###SealedSecret 清單文件就像上面這個樣子,我們可以通過kubectl或者argocd將其部署到k8s
