这是一个创建于 513 天前的主题,其中的信息可能已经有所发展或是发生改变。
存放配置文件的 git repo 在开发环境、同步一份到 prod 。
staging 和 prod 用 argocd 连到不同的 git repo 上读取配置。
按照安全标准开发环境是不允许有生产环境的 credentials ,除非进行了加密。
但是众所周知 k8s 默认的 secret 只是 base64 编码,不是加密。
1. 不写的话服务缺少依赖跑不起来,得分别去几个不同的集群手动添加 secret 。
2. 如果上 vault 这种又有点重,引入了新的组件和维护成本。
有啥最佳实践么?
staging 和 prod 用 argocd 连到不同的 git repo 上读取配置。
按照安全标准开发环境是不允许有生产环境的 credentials ,除非进行了加密。
但是众所周知 k8s 默认的 secret 只是 base64 编码,不是加密。
1. 不写的话服务缺少依赖跑不起来,得分别去几个不同的集群手动添加 secret 。
2. 如果上 vault 这种又有点重,引入了新的组件和维护成本。
有啥最佳实践么?
 | 1 momo2789 2024-07-24 08:38:22 +08:00 我在用 Helm Secrets ,生产测试 secrets 存在 GCP Secret Manager |
 | 2 zx900930 OP @momo2789 有 saas 服务真好,air-gapped 干啥都跟带着脚镣跳舞一样。 我想到是否可以用 git-crypt 这种,在 git 上直接加密 secret 文件,然后 argocd 在 pull 的时候解密,唯一的问题就是这个用来加密的私钥没法定期更新。 |
 | 3 oldboy627 2024-07-24 12:17:08 +08:00 你可以使用 openssl 加密,然后创建 tls 类型的 secrets ,在 pod 上创建一个 init container 进行 ssl 反向解密并把这个 secrets 以 volume 方式或者注入环境变量方式给 pod 容器。 |
| 4 zx900930 OP |
 | 5 zed1018 2024-07-24 13:06:49 +08:00 但是集群访问以及资源不都是有访问控制的吗,secret 本身加密与否没有那么重要吧 |
| 6 zx900930 OP |
Select Language