安全性 – 使用kubernetes使用敏感信息填充Docker容器

前端之家收集整理的这篇文章主要介绍了安全性 – 使用kubernetes使用敏感信息填充Docker容器前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

我有一个运行容器的pod,需要访问API密钥和数据库密码等敏感信息.现在,这些敏感值嵌入在控制器定义中,如下所示:

env:
- name: DB_PASSWORD
  value: password

然后在Docker容器中作为$DB_PASSWORD环境变量提供.一切都相当容易.

但是在Secrets上阅读他们的文档时,他们明确表示将敏感配置值放入您的定义中会违反最佳实践,并且可能是一个安全问题.我能想到的唯一其他策略如下:

>为每个用户社区或命名空间创建一个OpenPGP密钥
>使用crypt将配置值设置为etcd(使用私钥加密)
>创建一个包含私钥的kubernetes秘密,like so
>将该秘密与容器相关联(意味着私钥可以作为卷装入访问),like so
>当容器启动时,它将访问私有密钥的卷挂载内的文件,并使用它来解密从etcd返回的conf值
>然后可以将其合并到confd中,根据模板定义(例如Apache或wordpress配置文件)填充本地文件

这似乎相当复杂,但更安全和灵活,因为这些值将不再是静态的并以明文形式存储.

所以我的问题,我知道这不是一个完全客观的问题,这是否完全是必要的?只有管​​理员才能首先查看和执行RC定义;所以,如果有人违反了kubernetes大师,你还有其他问题需要担心.我看到的唯一好处是没有明文提交到文件系统的秘密的危险……

有没有其他方法以安全的方式使用秘密信息填充Docker容器?

最佳答案
除非你有多兆字节的配置,否则这个系统听起来不必要地复杂.预期用途是让您将每个配置放入一个秘密,并且需要配置的pod可以将该秘密作为卷安装.

然后,您可以使用各种机制中的任何一种将该配置传递给您的任务,例如如果是环境变量source secret / config.sh; ./mybinary是一种简单的方法.

我认为通过将私钥存储为秘密,您不会获得任何额外的安全性.

猜你在找的Docker相关文章