4

想象一个这样的秘密:

apiVersion: v1
kind: Secret
metadata:
  name: {{ include "test-cicd.fullname" . }}
  labels:
    app.kubernetes.io/name: {{ include "test-cicd.name" . }}
    helm.sh/chart: {{ include "test-cicd.chart" . }}
    app.kubernetes.io/instance: {{ .Release.Name }}
    app.kubernetes.io/managed-by: {{ .Release.Service }}
type: Opaque
data:
  secret.yaml: |
    {{ if eq .Values.env "prod" }}
    foo: bar-prod
    foo2: bar2_prod
    {{ else if eq .Values.evn "dev" }}
    foo: bar-dev
    {{ end }}

是否可以使用Kubeseal进行密封?现在执行此操作后,我得到invalid map key: map[interface {}]interface {}{"include \"test-cicd.fullname\" .":interface {}(nil)}了这可能是因为它不是“有效”的 yaml 文件。

我尝试过的一件事是: 1. 删除 helm 模板线 2. 生成sealedsecret 3. 使用helm 模板化sealedsecret

但是通过这样做,在部署时,集群端操作员无法解密密封的秘密。

4

3 回答 3

13

mkmik在Github上回答了我的问题,所以我在这里引用它也只是为了记录。

因此,您正在使用客户端模板编写一个秘密值。您的 secret.yaml 文件的一部分是机密的,但部分必须是模板指令(if),因此无法加密。

你有两个选择:

  1. 您使用一些客户端保险库软件以某种方式加密您的秘密,可能与 helm 集成(例如https://github.com/futuresimple/helm-secrets)。这要求应用该 helm 图表的每个用户(和 CI 环境)都能够解密这些秘密。

  2. 你重构你的秘密,使秘密是“原子的”,并使用密封的秘密从它的“单向加密”方法中受益,这允许你的 devops 用户(和 CI 自动化)在没有看到的情况下应用掌舵图秘密价值观本身。

此答案的其余部分假设您选择了选项 (2)

现在,由于您决定使用 Helm,您必须处理这样一个事实,即 helm 模板不是 json/yaml 文件,而是 Go 模板,因此它们不能被旨在操纵结构化数据格式的工具操纵。

幸运的是,kubeseal 有一个 --raw 命令,它允许您加密各个秘密值并手动将它们放入您用来描述 k8s 资源的任何文件格式中。

因此,假设您要为 SealedSecrets 资源创建 Helm 模板,该模板将名称和标签值作为参数,并且还根据布尔 prod/dev 参数选择要放置的秘密,此示例可能适合您:

apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
  name: {{ include "test-cicd.fullname" . }}
  annotations:
    # this is because the name is a deployment time parameter
    # consider also using "cluster-wide" if the namespace is also a parameter
    # please make sure you understand the implications, see README
    sealedsecrets.bitnami.com/namespace-wide: "true"
  labels:
    app.kubernetes.io/name: {{ include "test-cicd.name" . }}
    helm.sh/chart: {{ include "test-cicd.chart" . }}
    app.kubernetes.io/instance: {{ .Release.Name }}
    app.kubernetes.io/managed-by: {{ .Release.Service }}
type: Opaque
spec:
  template:
    metadata:
      labels:
        app.kubernetes.io/name: {{ include "test-cicd.name" . }}
        app.kubernetes.io/instance: {{ .Release.Name }}
        app.kubernetes.io/managed-by: {{ .Release.Service }}
  encryptedData:
    {{ if eq .Values.env "prod" }}
    foo: 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
    foo2: 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
    {{ else if eq .Values.evn "dev" }}
    foo: AgAkaTBYcESwogPi..........
    {{ end }}

另一种方法是使用两个模板,一个用于 prod,一个用于 dev,并使用 Helm 模板逻辑根据您要部署到的环境选择正确的文件。

无论如何,这些base64 blob中的每一个都可以通过以下方式生成:

$ kubeseal --raw --scope namespace-wide --from-file=yoursecret.txt

专业提示,如果它不在文件中,您可以通过管道传输秘密:

$ echo -n yoursecret | kubeseal --raw --scope namespace-wide --from-file=/dev/stdin

然后,您必须将该命令的输出粘贴到您的 Helm Go 模板中。

于 2019-10-07T22:57:51.940 回答
2

我的方法

  1. 为不同的环境使用不同的 .values.yml 文件
  2. 创建 .secrets.yml 文件来存储秘密值(包括在 .gitignore 中)
  3. 制作一个 git 预提交钩子,用于kubeseal --raw加密各个秘密,然后将它们写入值文件
  4. 将值文件存储在 git 中。

我为此写了一个要点:https ://gist.github.com/foogunlana/b75175b4ff62bc07258ea78274c698cd

于 2021-04-14T10:25:29.613 回答
0

我不会将来自不同环境的凭据放入单个密钥中,因为它可以部署到具有不同密封控制器的不同集群中。

为什么不为每个环境单独分离秘密文件?

为了密封一个秘密,我使用以下命令:

kubeseal --name=name-of-the-config --controller-namespace=fluxcd \
       --controller-name=sealed-secrets  --format yaml \
      < secret.yaml > sealedsecret.yaml

您可以通过以下方式检测 helm 版本的控制器名称和控制器名称空间:

kubectl get HelmRelease -A -o jsonpath="{.items[?(@.spec.chart@.name=='sealed-secrets')]}"
于 2020-10-14T08:36:28.447 回答