很多應用在使用時都需要用到Secret資訊,如授權Token、使用者名稱密碼、私密金鑰等,GitOps系統是以Git作為應用來源,將Secret資訊以明文方式儲存在Git倉庫中會有泄露風險,為了Secret資訊的安全性,GitOps需要對Secret資訊進行安全管理。
GitOps通常可以使用以下兩類方案對Secret資訊進行管理:
在Git中儲存Secret資訊的引用
在Git中儲存加密後的Secret資訊
在Git中儲存Secret資訊的引用
這類方案,主要是在Git中儲存一個Kubernetes資源清單,這些資源引用KMS(Key Management System)中的Secret資訊,再通過GitOps將該資源部署到業務Kubernetes叢集中,Operator擷取相應的Secret,並且在叢集中建立相應的Kubernetes Secret。
以下兩個重要專案實現了該類方法,分別是ExternalSecrets和Kubernetes Secret Store CSI Driver。
ACK One基於這兩種方式,支援從阿里雲KMS服務中將Secret資訊應用到業務叢集中,詳細資料,請參見使用ack-secret-manager或csi-secrets-store-provider-alibabacloud匯入阿里雲KMS服務憑據。
您可以將您的Secret資訊儲存於阿里雲KMS服務中,並在Gi的應用清單中,增加相應的ExternalSecret、SecretProviderClass等資源,以及修改Workload相應使用方式。
在Git中儲存加密後的Secret資訊
這類方案是先將Secret資訊加密,然後將密文儲存在Git中的Kubernetes Secret清單中,部署到業務叢集中以後,再進行解密。
該類方案您可在開源社區自行搜尋。