安全性 – 使用kubernetes使用敏感信息填充Docker容器
我有一个运行容器的pod,需要访问API密钥和数据库密码等敏感信息.现在,这些敏感值嵌入在控制器定义中,如下所示:
然后在Docker容器中作为$DB_PASSWORD环境变量提供.一切都相当容易. 但是在Secrets上阅读他们的文档时,他们明确表示将敏感配置值放入您的定义中会违反最佳实践,并且可能是一个安全问题.我能想到的唯一其他策略如下: >为每个用户社区或命名空间创建一个OpenPGP密钥 这似乎相当复杂,但更安全和灵活,因为这些值将不再是静态的并以明文形式存储. 所以我的问题,我知道这不是一个完全客观的问题,这是否完全是必要的?只有管??理员才能首先查看和执行RC定义;所以,如果有人违反了kubernetes大师,你还有其他问题需要担心.我看到的唯一好处是没有明文提交到文件系统的秘密的危险…… 有没有其他方法以安全的方式使用秘密信息填充Docker容器? 最佳答案
除非你有多兆字节的配置,否则这个系统听起来不必要地复杂.预期用途是让您将每个配置放入一个秘密,并且需要配置的pod可以将该秘密作为卷安装.
然后,您可以使用各种机制中的任何一种将该配置传递给您的任务,例如如果是环境变量source secret / config.sh; ./mybinary是一种简单的方法. 我认为通过将私钥存储为秘密,您不会获得任何额外的安全性. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |