CloudOps Orchestration Service (OOS) から Container Service for Kubernetes (ACK) クラスタの CSI インラインボリュームまたは Kubernetes Secrets にシークレットをインポートし、CSI インラインボリュームまたは Kubernetes Secrets をアプリケーション ポッドにマウントできます。 これにより、ACK でのアプリケーション開発のライフサイクル全体で機密データが公開されるのを防ぎます。 デフォルトでは、ファイルシステムから直接読み取ったシークレットと OOS 暗号化パラメーターの直接的な相互作用には、互換性の問題が発生する可能性があります。 ack-secret-manager または csi-secrets-store-provider-alibabacloud コンポーネントを使用することで、このような問題を解決できます。
コンポーネントの概要
ack-secret-manager コンポーネントを使用すると、OOS から ACK クラスタに Kubernetes Secrets としてシークレットをインポートまたは同期できます。 Kubernetes Secrets は、クラスタ内の機密情報を保存するために使用されます。 クラスタ内のアプリケーションは、Secret インスタンスを指定することで、ファイルシステムのマウントを介してシークレットにアクセスできます。
csi-secrets-store-provider-alibabacloud コンポーネントを使用すると、OOS から ACK クラスタに Kubernetes Secret インスタンスとしてシークレットをインポートまたは同期できます。 Kubernetes Secret インスタンスは、クラスタ内の機密情報を保存するために使用されます。 さらに、CSI インラインボリュームを使用して、シークレットをアプリケーションに直接マウントできます。 これは、ファイルの読み取り API など、ファイルシステム API を呼び出して機密データを取得するアプリケーションに適しています。
シナリオ
コンポーネント | 該当するクラスタ | 機能 | 参照 |
ack-secret-manager |
| シークレットの同期と更新がサポートされています。 | |
csi-secrets-store-provider-alibabacloud | Kubernetes 1.20 以降を実行するクラスタ:
|
| csi-secrets-store-provider-alibabacloud を使用して OOS 暗号化パラメーターをインポートする |
課金
ack-secret-manager と csi-secrets-store-provider-alibabacloud のインストールと使用は無料ですが、インストール後にワーカーノードのリソースを消費します。 インストールプロセス中に、各モジュールのリソースリクエストを定義できます。