Kubernetes Secret是一种用于存储敏感数据(如密码、密钥)的资源对象,以Base64编码形式存储在etcd中但不加密,需配合访问控制和加密措施使用。可通过命令行或YAML创建,支持从字面值或文件生成。在Pod中可作为环境变量注入或挂载为卷,推荐后者以提升安全性。为加强安全,应启用静态数据加密、严格配置RBAC权限、避免环境变量传递敏感信息、定期轮换凭证,并结合Vault、Sealed Secrets等外部工具实现加密管理和自动同步。正确使用Secret并强化防护措施可显著提升集群安全性。
在 Kubernetes 环境中,敏感信息如密码、API 密钥、证书等不能直接硬编码在容器镜像或 Pod 配置中。Kubernetes 提供了 Secret 资源对象,用于安全地存储和管理这些数据。合理使用 Secret 可以有效降低信息泄露风险。
什么是 Kubernetes Secret?
Secret 是一种用于保存小块敏感数据的对象,例如:
- 数据库用户名和密码
- OAuth 令牌
- SSH 私钥
- TLS 证书
Secret 以 Base64 编码形式存储在 etcd 中,并不加密,因此必须配合访问控制和加密措施使用。它的主要作用是避免将敏感信息明文暴露在 Pod 定义或环境变量中。
创建和使用 Secret 的方法
可以通过命令行或 YAML 文件创建 Secret。以下是常见方式:
从字面值创建 Secret
kubectl create secret generic db-secret \
--from-literal=username=alice \
--from-literal=password='s3cr3tP@ss'
从文件创建(更安全)
echo -n 'alice' > ./username
echo -n 's3cr3tP@ss' > ./password
kubectl create secret generic db-secret --from-file=./username --from-file=./password
在 Pod 中使用 Secret 的方式有两种:
- 作为环境变量注入:适合少量配置,但可能被进程列表或日志意外暴露
- 挂载为卷:更安全,推荐方式,文件权限可控
示例:将 Secret 挂载到容器中
apiVersion: v1kind: Pod
metadata:
name: myapp-pod
spec:
containers:
- name: myapp-container
image: nginx
volumeMounts:
- name: secret-volume
mountPath: "/etc/secrets"
readOnly: true
volumes:
- name: secret-volume
secret:
secretName: db-secret
加强 Secret 安全的最佳实践
仅仅使用 Secret 并不足以保证安全,还需结合以下措施:
-
启用静态数据加密:配置 kube-apiserver 启用
EncryptionConfiguration,使 Secret 在 etcd 中以加密形式存储 - 严格控制 RBAC 权限:仅允许必要服务账户和用户访问特定 Secret,避免过度授权
- 避免通过环境变量传递敏感数据:环境变量可能被子进程继承或写入日志,优先使用卷挂载
- 定期轮换凭证:配合外部密钥管理系统(如 Hashicorp Vault)实现动态 Secret 注入
- 限制 Secret 访问范围:将 Secret 创建在特定命名空间,避免跨命名空间共享
结合外部工具提升安全性
Kubernetes 原生 Secret 功能有限。生产环境中建议集成外部系统:
- Vault + CSI 驱动:使用 Secrets Store CSI Driver 将 Vault 中的凭据挂载为卷,支持自动同步和轮转
- 使用 GitOps 工具加密管理:如使用 SOPS 或 Sealed Secrets,在 Git 中安全存储加密后的 Secret 配置
Sealed Secrets 允许你在本地加密 Secret,仅能在目标集群解密,适合 CI/CD 流程。
基本上就这些。正确使用 Kubernetes Secret,配合访问控制和外部工具,能显著提升应用的安全性。记住,Base64 不是加密,保护 etcd 和控制访问才是关键。
