Сваки Кубернетес кластер се испоручује са уграђеним Сецрет објектом. Изгледа као обезбеђење. Осећа се као сигурност. То није сигурност.
Кубернетес Сецрет је, подразумевано, само басе64 кодиран стринг сачуван у етцд — читљив за свакога ко има приступ кластеру и тривијално декодован са једнолинером: ецхо "ц2ВјцмВ0" | басе64 -д. Осим ако нисте експлицитно омогућили шифровање у мировању (а већина тимова није), ваше лозинке базе података, АПИ токени и ТЛС приватни кључеви се налазе нешифровани у складишту података контролне равни вашег кластера. Укључите Кубернетес манифест који садржи Тајну за Гит, и тај акредитив заувек живи у историји вашег спремишта.
Ово је проблем који се појавила нова генерација алата за управљање тајнама да би решила — а 2026. године екосистем је значајно сазрео. Овај водич покрива шест најважнијих алата за управљање тајнама у Кубернетес окружењима: шта раде, шта не раде и који од њих одговара нивоу зрелости вашег тима.
Повезано читање: Ако сте забринути због тајни које цуре кроз ваш ЦИ/ЦД цевовод, погледајте наш сакупљање најбољих алата за ЦИ/ЦД цевовод. За ширу слику о безбедности контејнера, погледајте наш водич за алате за скенирање рањивости.
Зашто Кубернетес подразумеване тајне падају на крај
Пре него што уђете у алате, вреди бити прецизан о томе шта Кубернетес Сецретс недостаје — јер разумевање јаза је оно што вам омогућава да изаберете право решење.
Подразумевано нема шифровања у мировању. етцд чува Кубернетес тајне као басе64, а не шифровано. Омогућавање Енцриптион ат Рест је корак конфигурације на нивоу кластера којим управљани Кубернетес провајдери (ЕКС, ГКЕ, АКЕ) рукују другачије, а многи кластери којима се самостално управља у потпуности га прескачу.
Нема тајне ротације. Не постоји уграђени механизам за Кубернетес Сецрет да зна да је његов пратећи акредитив промењен. Лозинку базе података ротирате споља, а ваши подови настављају да користе стару све док ручно не ажурирате тајну и поново покренете погођене подове.
Нема евиденције ревизије за тајни приступ. Стандардна Кубернетес евиденција ревизије бележи модификације тајних објеката, али већина конфигурација не евидентира појединачна читања — што значи да не можете да одговорите на „који сервис је приступио овом токену и када?“
Гит-непријатељски по дизајну. Стандардни савет је „никада не предај тајне Гиту“. Али у ГитОпс свету где је циљ све-као-код, то је болан изузетак за одржавање.
РБАЦ као тупи инструмент. Кубернетес РБАЦ вам омогућава да одобрите или одбијете приступ Сецрет објектима на нивоу именског простора. Не може да изрази „Сервис А може да чита тајну Кс, али не и тајну И“, или „ова тајна истиче за 24 сата“.
Ниједан од ових разлога није разлог да се напусти Кубернетес – то су разлози да се поред тога користе наменски алати за управљање тајнама.
ТЛ;ДР — Поређење карактеристика
| Алат | Шифровање у мировању | Динамиц Сецретс | Дневници ревизије | К8с Нативе | Мулти-Цлоуд | Прицинг |
|---|---|---|---|---|---|---|
| ХасхиЦорп трезор | ✅ | ✅ | ✅ | ⚠ (преко агента) | ✅ | ОСС бесплатно / ХЦП плаћено |
| Оператор спољних тајни | ✅ (преко позадине) | ✅ (преко позадине) | ✅ (преко позадине) | ✅ | ✅ | Бесплатно / ОСС |
| Запечаћене тајне | ✅ | ❌ | ❌ | ✅ | ❌ | Бесплатно / ОСС |
| АВС Сецретс Манагер | ✅ | ✅ | ✅ | ⚠ (преко ЕСО/ЦСИ) | ❌ (само за АВС) | Потајне цене |
| доплер | ✅ | ❌ | ✅ | ✅ (оператер) | ✅ | Бесплатно → плаћени нивои |
| Инфисицал | ✅ | ✅ | ✅ | ✅ (оператер) | ✅ | ОСС / цлоуд плаћени |
⚠ = захтева додатне компоненте
1. ХасхиЦорп трезор — златни стандард за пословне тајне
ХасхиЦорп Ваулт је мерило на основу којег се мери сваки други алат за управљање тајнама. Готово деценију је тестиран у пословним окружењима, а његов скуп функција одражава ту дубину.
Основна способност трезора су динамичке тајне — акредитиви који се генеришу на захтев и аутоматски истичу. Уместо чувања статичке ПостгреСКЛ лозинке, Ваулт генерише јединствени пар корисничко име/лозинка за сваку услугу која захтева, који важи за период закупа који се може конфигурисати (нпр. један сат). Када закуп истекне, акредитив се опозива. Ово елиминише читаве класе ширења акредитива и драматично олакшава заустављање кршења.
За Кубернетес, Ваулт Агент Ињецтор или Ваулт Сецретс Оператор су путање интеграције. Ињектор ради као мутирајући веб-хок који аутоматски повезује Ваулт агента у ваше подове, који се аутентификује у Ваулт користећи налог услуге Кубернетес под и уписује тајне у дељени волумен у меморији. Оператор трезорских тајни (ВСО), новији приступ, синхронизује тајне трезора у изворне Кубернетес Сецрет објекте — познатије оператерима, по цену тајни које накратко постоје у етцд.
Ваулт-ови тајни мотори покривају импресиван опсег:
- Акредитиви базе података (ПостгреСКЛ, МиСКЛ, МонгоДБ и још много тога)
- АВС, ГЦП, Азуре динамички акредитиви
- Генерисање ПКИ и ТЛС сертификата
- Потписивање ССХ сертификата
- Токени налога Кубернетес сервиса
Шта Ваулт ради добро: Динамички акредитиви, прецизне политике приступа, свеобухватан дневник ревизије и зрели екосистем додатака. Ако вам је потребно тајно управљање на нивоу усклађености са пуним трагом ко је приступио-шта-када, трезор је често једина разумна опција.
На шта треба пазити: Трезор има оперативну сложеност. Покретање у режиму високе доступности захтева пажљиву пажњу на позадину за складиштење (Рафт је сада препоручени избор), процедуре за отпечавање и путање надоградње. Крива учења је стварна. Буџет за време пројектовања платформе.
Цене: Верзија отвореног кода је бесплатна и покрива већину потреба. ХасхиЦорп Цлоуд Платформ (ХЦП) Ваулт је управљана понуда са ценама заснованим на сатима кластера и тајним операцијама. Промена БСЛ лиценце из 2023. довела је до ОпенТофу форка за Терраформ, али Ваулт-ов еквивалент виљушке (ОпенБао) још увек сазрева.
📚 Препоручено читање: Хаковање Кубернетес-а од Ендруа Мартина и Мајкла Хаузенбласа — одлична покривеност површина напада Кубернетес-а укључујући тајне сценарије ексфилтрације.
2. Оператер спољних тајни (ЕСО) — К8с-Нативе Интеграциони слој
Оператор спољних тајни заузима фундаментално другачији архитектонски став: уместо да буде сама продавница тајни, то је мост између Кубернетеса и било које спољне продавнице коју већ имате. ЕСО синхронизује тајне из АВС Сецретс Манагер-а, ГЦП Сецрет Манагер-а, Азуре Кеи Ваулт-а, ХасхиЦорп Ваулт-а, 1Пассворд, Допплер-а и све веће листе других позадинских делова у изворне Кубернетес Сецрет објекте.
Основна апстракција је прилагођени ресурс ЕктерналСецрет:
apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
name: database-credentials
spec:
refreshInterval: 1h
secretStoreRef:
name: aws-secrets-manager
kind: ClusterSecretStore
target:
name: db-creds
data:
- secretKey: password
remoteRef:
key: production/db/password
ЕСО прати овај ресурс, преузима тајну из АВС Сецретс Манагер-а (или било где) и креира стандардни Кубернетес Сецрет. Ваша апликација чита дб-цредс као и свака друга Кубернетес Сецрет — нису потребне промене кода. Када рефресхИнтервал откуцава, ЕСО аутоматски поново преузима и ажурира тајну.
Зашто је ЕСО тако популаран 2026.: Добро се уклапа са постојећим инвестицијама. Ваша организација већ има АВС Сецретс Манагер (или Ваулт, или ГЦП Сецрет Манагер) — ЕСО само чини те тајне потрошним у Кубернетес-у без промене кода апликације или постојећих токова рада тајне ротације.
ЕСО или Оператор тајни трезора? Ако користите Ваулт, ВСО има чвршћу интеграцију специфичну за трезор (динамичке тајне трезора, ПКИ за трезор). Ако сте у изворној тајној продавници добављача облака, ЕСО је чистији избор. Многи тимови покрећу оба – ЕСО за статичке тајне у облаку, ВСО за динамичке акредитиве којима управља Ваулт.
Цене: ЕСО је бесплатан и отвореног кода (Апацхе 2.0), одржава га ЦНЦФ сандбок пројекат са снажном подршком заједнице.
3. Запечаћене тајне — шифроване тајне погодне за ГитОпс
Сеалед Сецретс од Битнамија решава специфичан проблем: како складиштити Кубернетес Сецрет манифесте у Гиту без чувања стварног отвореног текста? Одговор је асиметрично шифровање.
Контролер Сеалед Сецретс ради у вашем кластеру и држи приватни кључ. кубесеал ЦЛИ шифрује Кубернетес Сецрет манифест са јавним кључем кластера, производећи СеаледСецрет ЦРД. Овај шифровани манифест се може безбедно предати Гиту — само приватни кључ кластера може да га дешифрује, и може се дешифровати само у том специфичном кластеру (подразумевано, шифровани текст је везан за именски простор + име).
# Encrypt a secret for Git storage
kubectl create secret generic db-creds \
--from-literal=password=s3cr3t \
--dry-run=client -o yaml | \
kubeseal --format=yaml > db-creds-sealed.yaml
# This file is safe to commit
git add db-creds-sealed.yaml
Када примените СеаледСецрет на кластер, контролер га дешифрује и креира одговарајући објекат Сецрет.
Оно што Сеалед Сецретс ради добро: ГитОпс токови посла. Ако користите Арго ЦД или Флук и желите да се сваки ресурс кластера (укључујући тајне) декларативно чува у Гиту, Сеалед Сецретс савршено одговара том моделу. Захтева нула спољних зависности изван контролера у кластеру.
Шта не ради: Ротација, динамички акредитиви или евидентирање ревизије изван стандардних Кубернетес догађаја. Сеалед Сецретс је решење за Гит-стораге, а не платформа за потпуно управљање тајнама. Ако се ваша лозинка промени, поново шифрујете и поново урезујете.
Резервна копија приватног кључа је кључна. Ако изгубите приватни кључ контролора, губите могућност да дешифрујете своје запечаћене тајне. Направите резервну копију тајне сеалед-сецретс-кеи на засебној, безбедној локацији.
Цене: Потпуно бесплатно и отвореног кода (Апацхе 2.0).
4. АВС Сецретс Манагер са Кубернетес-ом
Ако се ваша радна оптерећења углавном покрећу на ЕКС-у (или се у великој мери повезују са АВС услугама), АВС Сецретс Манагер упарен са Сецретс Сторе ЦСИ драјвером или Оператор спољних тајни је природни Чувате тајне у АВС-овом управљаној, шифрованој продавници са евиденцијом ревизије и увлачите их у Кубернетес када је то потребно.
Сецретс Сторе ЦСИ драјвер (ССЦСИД) је приступ који одржава ЦНЦФ: тајне се монтирају директно у подове као датотеке преко ЦСИ волумена, никада се не пишу у етцд као Кубернетес Сецрет објекти. Ово је пут са највишим степеном безбедности — тајне постоје у под меморији, али не у Кубернетес Сецрет продавници.
volumes:
- name: secrets-store
csi:
driver: secrets-store.csi.k8s.io
readOnly: true
volumeAttributes:
secretProviderClass: aws-secrets
Изворне могућности АВС Сецретс Манагер-а укључују аутоматску ротацију за подржане услуге (РДС, Редсхифт, ДоцументДБ и преко Ламбда за прилагођену ротацију), приступ више налога и дубоку ЦлоудТраил интеграцију за праћење усаглашености.
Разматрање трошкова: АВС Сецретс Манагер наплаћује по тајни месечно и по АПИ позиву. За велике флоте са много малих тајни, трошкови се могу повећати. Погледајте наш водич за оптимизацију трошкова у облаку за стратегије управљања АВС потрошњом у вези са тајном.
Најбоље за: ЕКС изворни тимови који су већ инвестирали у АВС екосистем који желе чврсту ИАМ интеграцију и изворну ротацију акредитива за РДС.
5. Доплер — Девелопер-Фирст СааС Сецретс Платформ
Допплер користи СааС приступ који даје предност искуству програмера у односу на оперативну сложеност. Ви дефинишете тајне у Доплеровом корисничком интерфејсу (или преко ЦЛИ/АПИ), организујете их по окружењу (развој, фаза, производња), а Допплер Кубернетес оператер их аутоматски синхронизује у Кубернетес Сецретс.
Оператер испитује Доплер за промене и ажурира одговарајући Кубернетес Сецрет, опционо покреће поновно покретање под када се тајне промене. Подешавање је једна инсталација Хелм графикона:
helm repo add doppler https://helm.doppler.com
helm install --generate-name doppler/doppler-kubernetes-operator
Где Доплер блиста: Локални развој и ЦИ/ЦД интеграција уз Кубернетес. Доплер ЦЛИ у потпуности замењује датотеке окружења (доплер покретање -- ваша команда), дајући исте тајне у локалним, ЦИ и производним окружењима. За ЦИ/ЦД пипелинес, Доплерове природне интеграције са ГитХуб Ацтионс, ЦирцлеЦИ и другима елиминишу потребу за копирањем тајни у променљиве окружења цевовода.
Шта Доплер не покрива: акредитиви за динамичку базу података. Доплер је статичка продавница тајни са историјом верзија и евидентирањем ревизије — то није механизам за генерисање тајни као Ваулт.
Цене: Доплер нуди бесплатан ниво за мале тимове. Плаћени планови додају ССО, захтеве за приступ и функције усклађености. Проверите Допплер-ову страницу са ценама за тренутне нивое (промене цена; проверите пре буџетирања).
6. Инфисицал — Алтернатива трезору отвореног кода
Инфисицал је најјачи изазивач отвореног кода за Ваулт/Доплер дуопол. Пружа веб кориснички интерфејс, ЦЛИ, СДК-ове и Кубернетес оператера — који се самостално хостује или се користи као услуга у облаку.
Инфисицал је додао подршку за динамичке тајне 2024., циљајући на генерисање акредитива базе података слично Ваулт-овом механизму за тајне базе података. Инфисицал Кубернетес оператор синхронизује ИнфисицалСецрет ЦРД-ове са изворним Кубернетес тајнама, са подесивим интервалима освежавања.
За тимове који желе УКС на нивоу СааС-а (веб контролна табла, токови рада захтева за приступ, евиденције ревизије), али не могу да користе екстерни СааС због захтева усклађености, Инфисицал селф-хостед је убедљив. Значајно је лакши за руковање од Ваулт-а и има боље искуство за програмере.
Цене: Језгро отвореног кода је бесплатно. Верзија у облаку има бесплатни ниво и плаћене планове за напредне функције. Лиценца за предузећа која се сами хостују је доступна за окружења која захтевају усаглашеност.
📚 За дубље уроњење у Кубернетес безбедносну архитектуру: Кубернетес безбедност и опсервабилност на Амазону покрива тајне, РБАЦ, мрежну политику и безбедност током извршавања у једном кохезивном оквиру.
Савети за имплементацију
Почните са шифровањем у мировању. Пре него што додате било какву додатну алатку, омогућите Кубернетес етцд шифровање у мировању. За управљане кластере, ово је често једно поље за потврду. За кластере којима се самостално управља, пратите званични водич. Ово одмах подиже ваш основни безбедносни став.
Усвојите РБАЦ са најмањим привилегијама за тајне. Проверавајте који налози услуга имају дозволе за добијање, листу или гледање на објектима Сецрет. Подразумевани сервисни налози у многим Хелм графиконима су превише обезбеђени. Затегните РБАЦ пре него што га ротирате у спољно складиште.
Рано планирајте своје тајне конвенције о именовању. Тајне се брзо шире. Доследна хијерархија ({енв}/{сервице}/{цредентиал-типе}) чини аутоматизацију, РБАЦ смернице и токове рада ротације драматично једноставнијим у свим алатима.
Не прескачите тајно тестирање ротације. Који год алат да изаберете, покрените вежбу ротације пре него што вам затреба. Проверите да ли ваша апликација преузима нове акредитиве без застоја. Динамичке тајне са Ваулт-ом или ЕСО-ом чине ово знатно лакшим од ручно ажурираних статичких тајни.
Надгледајте ширење тајни. Како ваша платформа расте, тајне се гомилају. Интегришите извештавање о управљању тајнама у контролне табле за инжењеринг платформе. Погледајте наш Водич за алате за праћење Кубернетес за алате за посматрање које могу пратити тајне обрасце приступа.
Који алат за који тим?
Мали тим, изворни у облаку (АВС/ГЦП/Азуре): Почните са екстерним тајним оператером који се повезује са изворном тајном радњом вашег добављача облака. Минимални оперативни трошкови, солидна интеграција ревизије, бесплатно.
ГитОпс-први тим (Арго ЦД / Флук): Запечаћене тајне за конфигурацију сачувану у ГитОпс-у, у комбинацији са ЕСО-ом за осетљиве акредитиве за време извршавања који не би требало да буду у Гиту чак ни шифровани.
Предузеће са захтевима усаглашености (СОЦ 2, ПЦИ, ХИПАА): ХасхиЦорп трезор — Рафт кластер који се самостално хостује или управља ХЦП трезором. Ревизорски дневник, динамичке акредитиве и механизам финих политика тешко је реплицирати на другом месту.
Мјешовито окружење фокусирано на искуство програмера (К8с + локално + ЦИ/ЦД): Доплер за обједињени ДКС у свим окружењима или Инфисицал који самостално хостује ако је резидентност података важна.
Велики тим за платформу који управља окружењима са више кластера: Оператор спољних тајни као слој апстракције на страни К8с, подржан од трезора или продавнице у клауду. Централизовање извора истине у једној продавници уз коришћење ЕСО-а као универзалног адаптера за различите кластере је добро доказан образац у 2026.
Повезано: За безбедносне ризике које уводе алати за АИ кодирање у ваше Кубернетес манифесте и ЦИ/ЦД цевоводе, погледајте наш водич о безбедносним ризицима кодирања вибе у 2026..
ФАК
<сцрипт типе=“апплицатион/лд+јсон”> { “@цонтект”: “https://сцхема.орг”, “@типе”: “ФАКПаге”, “маинЕнтити”: [ { “@типе”: “Питање”, “name”: “Are Kubernetes Secrets encrypted by default?”, “аццептедАнсвер”: { “@типе”: “Одговори”, “тект”: “Не. Кубернетес тајне су подразумевано кодиране басе64, што је кодирање — не шифровање. Подаци се чувају у етцд-у без шифровања осим ако експлицитно не конфигуришете шифровање у мировању на нивоу кластера. Управљане Кубернетес услуге као што су ЕКС, ГКЕ и АКС нуде опционо, али цд мора да буде омогућено шифровање. конфигурацију шифровања и размотрите спољни алат за управљање тајнама за осетљиве акредитиве.” } }, { “@типе”: “Питање”, “наме”: “Која је разлика између запечаћених тајни и оператера спољних тајни?”, “аццептедАнсвер”: { “@типе”: “Одговори”, “тект”: “Сеалед Сецретс шифрује Кубернетес Сецрет манифесте тако да могу бити безбедно посвећени Гиту. То је решење за Гит-стораге — тајне живе у Гиту (шифроване) и дешифрују их контролер у кластеру. Оператор спољних тајни је мост који преузима тајне из екстерних продавница, ХасхиЦорп Сецретс Манагер креира итд. Кубернетес Сецрет објекти од њих решавају различите проблеме: запечаћене тајне за ГитОпс токове рада, ЕСО за извлачење живих тајни из спољних система управљања. } }, { “@типе”: “Питање”, “наме”: “Шта су динамичке тајне у ХасхиЦорп трезору и зашто су важне?”, “аццептедАнсвер”: { “@типе”: “Одговори”, “тект”: “Динамске тајне су акредитиви које Ваулт генерише на захтев, а не статички ускладиштени. Када услуга захтева ПостгреСКЛ акредитив, Ваулт креира јединствени пар корисничког имена и лозинке, додељује му одговарајуће дозволе базе података и поставља време истека (‘закуп’). Када закупни део аутоматски истиче да нема дуготрајног закупа. Ово значи да Ваулт дуго не истиче. лозинку за крађу, а свака инстанца услуге добија свој јединствени акредитив — ограничавајући радијус експлозије ако је угрожена. } }, { “@типе”: “Питање”, “наме”: “Како да интегришем АВС Сецретс Манагер са Кубернетес-ом (не-ЕКС)?”, “аццептедАнсвер”: { “@типе”: “Одговори”, „тект“: „Најпреносивији приступ је Оператор спољних тајни са АВС ЦлустерСецретСторе. Креирате ИАМ корисника или улогу са дозволом сецретсманагер:ГетСецретВалуе, конфигуришете ЕСО ЦлустерСецретСторе са тим акредитивима (или користите ИРСА за ЕКС), а затим дефинишете ресурсе ЕСО ЕктерналСецс Сецрет који упућују на ЕктерналСец путању вашег ЕктерналСец-а. у Кубернетес Сецрет објекте у вашем конфигурисаном интервалу, посебно за ЕКС, ИРСА (ИАМ Ролес фор Сервице Аццоунтс) дозвољава ИАМ аутентификацију на нивоу под без статичких акредитива. } }, { “@типе”: “Питање”, “наме”: “Да ли да користим Допплер или ХасхиЦорп Ваулт за управљање тајнама Кубернетес?”, “аццептедАнсвер”: { “@типе”: “Одговори”, “тект”: “Доплер и Ваулт циљају на различите потребе. Доплер се истиче у искуству програмера — једноставно корисничко сучеље, матичне ЦИ/ЦД интеграције и обједињен начин управљања тајнама у оквиру локалних развојних програма, сценографије и производње. Трезор се истиче у захтевима за безбедност предузећа — динамичко генерисање тајних података, детаљан механизам за политике, свеобухватно евидентирање података за ревизију и позадински тим за развој тајних производа у средини. Оно што је најважније, Доплер је често бржи пут за окружења која захтевају усаглашеност (СОЦ 2, ПЦИ ДСС, ХИПАА) која захтевају динамичке акредитиве и потпуне трагове ревизије, Ваулт је бољи избор. } }, { “@типе”: “Питање”, “наме”: “Како да спречим да тајне процуре у дневнике контејнера или променљиве окружења?”, “аццептедАнсвер”: { “@типе”: “Одговори”, “тект”: “Помаже неколико пракси: Прво, радије прикачите тајне као фајлове (преко монтаже волумена) уместо променљивих окружења — променљиве окружења могу бити изложене кроз /проц, отклањање грешака у крајњим тачкама или исписе отказивања. Друго, користите ЦСИ драјвер Сецретс Сторе да монтирате тајне директно из екстерне продавнице без да их уписујете у етцд уопште, конфигуришите тајни образац евиденције у евиденцију. Треће. Четврто, користите Ваулт Агент или ЕСО са шаблоном ‘сецретСинцОнли’ како се тајне не би евидентирале током покретања модула. } }, { “@типе”: “Питање”, “наме”: “Који је најбољи алат за управљање тајнама Кубернетес-а за мали тим?”, “аццептедАнсвер”: { “@типе”: “Одговори”, “тект”: “За мали тим, најбоља почетна тачка је обично Оператор спољних тајни повезан са изворном тајном складиштем вашег добављача облака (АВС Сецретс Манагер, ГЦП Сецрет Манагер или Азуре Кеи Ваулт). Овај приступ има минималне оперативне трошкове — ЕСО контролер је једина додатна компонента коју треба одржавати — и одмах вам даје шифровање у мировању, евидентирање у облаку, а такође је потребна добра ротација у облаку преко локалног развојног тима. искуство, Доплеров бесплатни ниво додаје јединствени тајни кориснички интерфејс и ЦЛИ који функционише у локалним, ЦИ и Кубернетес окружењима.” } } ] } </сцрипт>
Да ли су Кубернетес тајне подразумевано шифроване?
Не. Кубернетес Сецретс су подразумевано кодирани басе64 — кодирањем, а не шифровањем. Подаци се чувају у етцд-у без шифровања осим ако експлицитно не омогућите шифровање у мировању. Увек проверите конфигурацију кластера и размотрите спољне алате за управљање тајнама за производна радна оптерећења.
Која је разлика између запечаћених тајни и оператера спољних тајни?
Сеалед Сецретс шифрује Сецрет манифесте за безбедно Гит складиштење — то је ГитОпс решење. Оператор спољних тајни преузима тајне уживо из екстерних продавница (Ваулт, АВС Сецретс Манагер, итд.) и од њих креира изворне Кубернетес тајне. Они решавају различите проблеме и често се користе заједно.
Шта су динамичке тајне и зашто су важне?
Динамичке тајне су акредитиви генерисани на захтев са аутоматским истеком — уместо статичких лозинки које се чувају на неодређено време. ХасхиЦорп трезор је примарни извор динамичких тајни за Кубернетес. Ако је динамички акредитив угрожен, он истиче према сопственом распореду. Ово драматично ограничава радијус експлозије пробоја у поређењу са дуговечним статичким тајнама.
Да ли треба да користим Доплер или ХасхиЦорп Ваулт за Кубернетес?
Доплер побеђује на искуству програмера и брзом усвајању. Трезор побеђује у усаглашености предузећа — динамичким акредитивима, детаљним евиденцијама ревизије и прецизном политиком. For small to mid-size teams, Doppler is often the faster path. За окружења СОЦ 2, ПЦИ ДСС или ХИПАА, Ваулт је обично одбрањивији избор.
Како да спречим да тајне процуре у дневнике контејнера?
Монтирајте тајне као датотеке, а не као променљиве окружења (променљиве окружења могу бити изложене преко /проц и крајњих тачака за отклањање грешака). Користите ЦСИ драјвер Сецретс Сторе да бисте у потпуности заобишли етцд. Скенирајте случајна тајна урезивања у свом ЦИ/ЦД цевоводу помоћу алата као што је Триви-јев тајни скенер — погледајте наш водич за алате за скенирање рањивости за детаље о подешавању.
Који је најбољи алат за управљање тајнама за мали Кубернетес тим?
Почните са Оператором спољних тајни који подржава изворна тајна продавница вашег добављача услуга у облаку. Минимални трошкови операција, солидно евидентирање ревизије, бесплатно. Додајте Допплер-ов бесплатни ниво ако желите и јединствено искуство са тајнама за развој/ЦИ/производњу.
Како да интегришем АВС Сецретс Манагер са Кубернетес-ом?
Користите Оператор спољних тајни са ЦлустерСецретСторе који показује на АВС Сецретс Манагер. На ЕКС-у користите ИРСА (ИАМ улоге за услужне налоге) за ИАМ аутентификацију на нивоу под-нивоа — нису потребни статички акредитиви. На кластерима који нису ЕКС, користите ИАМ корисника са сецретсманагер:ГетСецретВалуе у опсегу до ваших специфичних тајних АРН-ова.