安全性 – 使用kubernetes使用敏感信息填充Docker容器

我有一个运行容器的pod,需要访问API密钥和数据库密码等敏感信息.现在,这些敏感值嵌入在控制器定义中,如下所示：

env:
- name: DB_PASSWORD
  value: password

然后在Docker容器中作为$DB_PASSWORD环境变量提供.一切都相当容易.

但是在Secrets上阅读他们的文档时,他们明确表示将敏感配置值放入您的定义中会违反最佳实践,并且可能是一个安全问题.我能想到的唯一其他策略如下：

>为每个用户社区或命名空间创建一个OpenPGP密钥
>使用crypt将配置值设置为etcd(使用私钥加密)
>创建一个包含私钥的kubernetes秘密,like so
>将该秘密与容器相关联(意味着私钥可以作为卷装入访问),like so
>当容器启动时,它将访问私有密钥的卷挂载内的文件,并使用它来解密从etcd返回的conf值
>然后可以将其合并到confd中,根据模板定义(例如Apache或WordPress配置文件)填充本地文件

这似乎相当复杂,但更安全和灵活,因为这些值将不再是静态的并以明文形式存储.

所以我的问题,我知道这不是一个完全客观的问题,这是否完全是必要的？只有管??理员才能首先查看和执行RC定义;所以,如果有人违反了kubernetes大师,你还有其他问题需要担心.我看到的唯一好处是没有明文提交到文件系统的秘密的危险……

有没有其他方法以安全的方式使用秘密信息填充Docker容器？