• Wang Yifei
    2023-05-06 来自北京
    这个方案仍然会生成在kubernetes中生成secret对象,有权限访问secret的人员仍然能得到密码,有更安全的方案么?

    作者回复: 集群应该保护起来,不对外暴露。如果一定要实现不生成 Secret 的方案,那可能需要一套配置中心来处理。

    
    1
  • po
    2023-02-26 来自上海
    kubeseal 需要连接到集群中,但是 kubeseal 平常都是开发或者运维在测试环境或者电脑本机,测试环境或者本机连接到生产kubernetes一般不大可能,现在想到的可能就是生产和测试kubernetes都同步一样的RSA,然后提交到Git,感觉这个管理流程上不是很顺畅,

    作者回复: Kubeseal 的使用场景是可以直连 Kubernetes,本质上它需要把 RSA 秘钥保存到集群里,如果不能满足这个条件的话,那么只能按照迁移的模式提前生成好 RSA 秘钥,这可能不利于安全性的提升。

    共 3 条评论
    1
  • Sophia-百鑫
    2023-08-18 来自上海
    老师好,关于原理解析部分,描述和原理图有一点不一致的地方,具体是第2步:sealed secret controller 生成 RSA key 并保存在kube-system命名空间下的secret对象下。不应该是保存在secret-demo 命名空间下的secret对象下。 请老师确认一下。

    作者回复: RSA key 是存放在 kube-system,业务的 secret 对象和 CRD 是放在业务命名空间下。

    
    
  • Sophia-百鑫
    2023-08-17 来自上海
    老师好,2个问题需求求助您解答: 1.示例中,为了达到预期结果,除了要把 application.yaml中的 repoURL值改成自己的github 地址外。是否也需要把image-pull-secret.yaml 中的 .dockerconfigjson 值也改成自己的github username 和 PAT ? 2. 我完成2个加密文件后,secret-demo 空间的 pod 还是 imagepullbackoff。具体如下内容。 是什么原因导致的或如何排查? ➜ kubernetes-example git:(main) ✗ kubectl get pods -n secret-demo NAME READY STATUS RESTARTS AGE sample-spring-65f7bbf4fd-l86gr 0/1 ImagePullBackOff 0 43h

    作者回复: 是的,秘钥也需要换成自己的。你可以用 kubectl describe pod xx 命令来查看拉取镜像的具体日志,一般是凭据错误或者镜像不存在。

    共 2 条评论
    
  • 无名无姓
    2023-02-14 来自北京
    安全性问题特别重要

    作者回复: 是的,在 GitOps 中明文存储秘钥是不可取的。

    
    
  • 黑鹰
    2023-02-13 来自北京
    在云原生环境下,数据库访问凭证动态定期轮换也很重要‼️Sealed-Secret 好像不支持该特性,Vault有比较好的支持!

    作者回复: Vault 是一款老牌的秘钥管理工具了,ArgoCD 可以结合 Vault 插件来使用。

    
    