Setelah menginstal plugin Kubernetes rahasia ack-secret-manager di Container Service for Kubernetes (ACK), Anda dapat mengonfigurasi nama rahasia dalam plugin. Plugin ini secara berkala membaca nilai rahasia terbaru dari Key Management Service (KMS) dan menyimpannya di kluster Kubernetes Anda. Anda dapat menggunakan rahasia dinamis yang dikelola di KMS seperti halnya menggunakan rahasia di Kubernetes Secrets, mencegah transmisi dan kebocoran data sensitif selama pengembangan dan pembuatan aplikasi.
Prosedur
Instal plugin Kubernetes rahasia ack-secret-manager.
Kluster ACK
Masuk ke Konsol ACK dan klik ack-secret-manager di halaman Marketplace.
Di pojok kanan atas halaman ack-secret-manager, klik Deploy.
Di panel Deploy, atur Cluster, pertahankan nilai default untuk Namespace dan Release Name, lalu klik Next.
Di langkah Parameters, konfigurasikan parameter dan klik OK.
Parameter
Deskripsi
Contoh
command.backend
Backend sistem manajemen kunci eksternal. Hanya KMS yang didukung. Atur nilainya menjadi alicloud-kms.
alicloud-kms
command.region
Wilayah tempat Anda mengambil rahasia.
cn-hangzhou
command.disablePolling
Menentukan apakah akan menonaktifkan sinkronisasi otomatis nilai rahasia terbaru dari KMS. Nilai default: false.
false
command.pollingInterval
Interval waktu untuk menyinkronkan nilai rahasia yang ada dari KMS.
120s
Setelah menyelesaikan konfigurasi, Anda akan dialihkan ke halaman ack-secret-manager. Anda dapat melihat hasil instalasi di halaman tersebut. Jika sumber daya pada gambar berikut dibuat, plugin Kubernetes rahasia ack-secret-manager telah berhasil diinstal.
Kluster Kubernetes yang dikelola sendiri
Anda dapat mengunjungi ack-secret-manager dan menginstal plugin Kubernetes rahasia ack-secret-manager.
Buat rahasia di KMS.
Anda dapat membuat rahasia dari semua jenis. Untuk informasi lebih lanjut, lihat Kelola dan gunakan rahasia generik, Kelola dan gunakan rahasia RAM, Rahasia ApsaraDB RDS, atau Kelola dan gunakan rahasia ECS.
Tentukan izin untuk mengakses KMS di plugin Kubernetes rahasia ack-secret-manager.
Akses KMS menggunakan titik akhir KMS
Metode ini cocok untuk rahasia di instance KMS dan untuk rahasia yang dibuat di versi lama KMS di mana instance KMS tidak dibeli.
Buat kebijakan kustom di Resource Access Management (RAM) yang dapat digunakan untuk mengakses rahasia. Contoh kode berikut memberikan contoh isi kebijakan. Anda dapat menyesuaikan isi kebijakan sesuai dengan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Kebijakan kustom.
{ "Action": [ "kms:GetSecretValue", "kms:Decrypt" ], "Resource": [ "*" ], "Effect": "Allow" }Otorisasi beban kerja atau pod untuk mengakses KMS.
Metode
Lampirkan kebijakan kustom ke peran pekerja yang diperlukan dari kluster Anda
Masuk ke Konsol ACK. Di panel navigasi di sebelah kiri, klik Clusters.
Temukan kluster yang ingin Anda kelola dan klik Details di kolom Actions.
Di tab Sumber Daya Kluster, klik nama peran RAM bernama KubernetesWorkerRole-******. Anda akan dialihkan ke halaman tempat Anda dapat melampirkan kebijakan kustom ke peran tersebut.
Gunakan fitur RRSA untuk melampirkan kebijakan kustom per pod.
Buat peran RAM untuk akun layanan, tentukan kebijakan kepercayaan untuk peran RAM, lalu lampirkan kebijakan kustom ke peran RAM.
Akses KMS menggunakan titik akhir instance KMS dalam format {kmsInstanceId}.cryptoservice.kms.aliyuncs.com
Metode ini cocok untuk rahasia di instance KMS. Jika Anda menggunakan instance KMS untuk mengelola rahasia Anda dan hanya ingin mengakses KMS di virtual private cloud (VPC) Anda, kami sarankan Anda menggunakan metode ini. Untuk informasi lebih lanjut, lihat Buat AAP.
CatatanSebelum mengakses KMS menggunakan titik akhir instance KMS, ikat VPC dari beban kerja atau pod ke instance KMS. Untuk informasi lebih lanjut, lihat Konfigurasikan akses Multi-VPC ke instance KMS dalam wilayah yang sama.
Di plugin Kubernetes rahasia ack-secret-manager, tentukan protokol, titik akhir, kunci klien, dan nama rahasia. Untuk informasi lebih lanjut, lihat ack-secret-manager.
Apa yang harus dilakukan selanjutnya
Untuk melindungi rahasia yang dibaca dari KMS dan disimpan di kluster Kubernetes, Anda dapat mengenkripsi rahasia di Kubernetes Secrets. Untuk informasi lebih lanjut, lihat Gunakan KMS untuk mengenkripsi Kubernetes Secrets saat diam.
Anda juga dapat melakukan enkripsi untuk melindungi rahasia statis di kluster Kubernetes. Rahasia statis adalah rahasia sistem.