CloudOps Orchestration Service (OOS) からContainer Storage Interface (CSI) インラインボリュームに、またはContainer Service for Kubernetes (ACK) クラスターのKubernetes secretsとしてシークレットをインポートし、CSIインラインボリュームまたはKubernetes Secretsをアプリケーションポッドにマウントできます。 これにより、アプリケーション開発のライフサイクル全体を通して機密データをACKで公開することが回避されます。 デフォルトでは、Kubernetesワークロードはファイルシステムからシークレットを直接読み取ります。 ただし、KubernetesワークロードとKMS Secrets Managerの間に互換性の問題が存在する場合があります。この問題は、ack-secret-managerコンポーネントまたはcsi-secrets-store-provider-alibabacloudコンポーネントで解決できます。
コンポーネントの概要
ack-secret-managerコンポーネントを使用すると、クラスターに機密情報を保存するために使用されるKubernetes secretsとして、OOSからACKクラスターにシークレットをインポートまたは同期できます。 クラスター内のアプリケーションは、シークレットインスタンスを指定することで、ファイルシステムのマウントを通じてシークレットにアクセスできます。
csi-secrets-store-provider-alibabacloudコンポーネントを使用すると、クラスターに機密情報を保存するために使用されるKubernetes Secretインスタンスとして、OOSからACKクラスターにシークレットをインポートまたは同期できます。 さらに、CSIインラインボリュームを使用して、シークレットをアプリケーションに直接マウントできます。 これは、ファイルを読み取るAPIなどのファイルシステムAPIを呼び出して機密データを取得するアプリケーションに適しています。
シナリオ
コンポーネント | 該当するクラスター | 機能 | 参考情報 |
ack-secret-manager |
| シークレットの同期と更新がサポートされています。 | |
csi-secrets-store-provider-alibabacloud | Kubernetes 1.20以降を実行するクラスター:
|
| csi-secrets-store-provider-alibabacloudを使用してOOS暗号化パラメーターをインポート |
課金
ack-secret-managerとcsi-secrets-store-provider-alibabacloudは無料でインストールして使用できますが、インストール後にワーカーノードのリソースを消費します。 インストールプロセス中に、各モジュールのリソース要求を定義できます。