[英]Encrypting secret data in kubernetes etcd store
默认情况下,存储在etcd中的所有数据都不加密,对于生产部署,存储在etcd中的某些数据需要加密,例如机密,是否可以通过加密方式在etcd中存储机密,方法是:默认。
要进行加密,您需要使用以下参数指示apiserver
服务:
--experimental-encryption-provider-config=/var/lib/kubernetes/encryption-config.yaml
yaml文件包含以下内容:
kind: EncryptionConfig
apiVersion: v1
resources:
- resources:
- secrets
providers:
- aescbc:
keys:
- name: key1
secret: ${ENCRYPTION_KEY}
- identity: {}
这里的提供者是aescbc(最强的加密),并且变量是在之前生成的:
ENCRYPTION_KEY=$(head -c 32 /dev/urandom | base64)
看一下这些文件:
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.