根据Kubernetes secrets docs,创建一个秘密就像base64编码数据并将其放在一个文件中一样简单。
那么,如果base64可以像编码一样轻松解码,我们可以保护/加密文件中的秘密值吗?能够将秘密文件提交到源代码控制中会很好,但是简单地使用base64编码的数据提交文件绝不是安全的。
例如,以下是文档中给出的示例:
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
password: dmFsdWUtMg0K
username: dmFsdWUtMQ0K
如果你去了base64decode.org,你会发现那些密码/用户名值只是“value-2”。此文件不适合源代码管理。我们如何保护文件中的数据,以便对源代码控制安全?或者这被认为是不好的做法,我们应该将文件添加到.gitignore?
它不是base64编码的安全性,它允许二进制内容存储在秘密中。您可能不应该将秘密定义提交给源代码控制。
对于机密密钥,您可以将它们存储在etcd中并使用confd检索它们吗?
否则,如果你真的想要它们在scm中,那么你可以使用git-crypt吗? https://github.com/AGWA/git-crypt
我用ansible部署它们,并使用ansible-vault加密秘密,因此它们可以在存储库中。此外,它们可以存储为文本,在模板上应用base64过滤器。
无论如何,正如之前所说,秘密并不安全。它们只是用base64编码,可以用以下代码解码:
kubectl get secret mysecret -o jsonpath="{.data.username}" | base64 -d
kubectl get secret mysecret -o jsonpath="{.data.password}" | base64 -d
(顺便说一句,这是非常有用的)