学习 Kubernetes 基础知识

任务

任务
安装工具
安装并设置 kubectl
安装 Minikube
管理集群
用 kubeadm 进行管理
Adding Windows nodes (EN)
Upgrading Windows nodes (EN)
使用 kubeadm 进行证书管理
升级 kubeadm 集群
管理内存,CPU 和 API 资源
为命名空间配置默认的内存请求和限制
为命名空间配置默认的CPU请求和限制
配置命名空间的最小和最大内存约束
为命名空间配置CPU最小和最大限制
为命名空间配置内存和 CPU 配额
配置命名空间下pod总数
安装网络规则驱动
使用 Calico 作为 NetworkPolicy
使用 Cilium 作为 NetworkPolicy
使用 Kube-router 作为 NetworkPolicy
使用 Romana 作为 NetworkPolicy
使用 Weave Net 作为 NetworkPolicy
Debug DNS 方案
Enabling Service Topology (EN)
IP Masquerade Agent 用户指南
Kubernetes 云管理控制器
Safely Drain a Node while Respecting the PodDisruptionBudget (EN)
为 Kubernetes 运行 etcd 集群
为系统守护进程预留计算资源
为节点发布扩展资源
使用 CoreDNS 进行服务发现
使用 KMS 提供商进行数据加密
使用 Kubernetes API 访问集群
关键插件 Pod 的调度保证
启用端点切片
命名空间演练
在 Kubernetes 集群中使用 NodeLocal DNSCache
在 Kubernetes 集群中使用 sysctl
在实时集群上重新配置节点的 Kubelet
声明网络策略
开发云控制器管理器
控制节点上的 CPU 管理策略
控制节点上的拓扑管理策略
搭建高可用的 Kubernetes Masters
改变默认 StorageClass
更改 PersistentVolume 的回收策略
自定义 DNS 服务
访问集群上运行的服务
通过命名空间共享集群
通过配置文件设置 Kubelet 参数
配置 API 对象配额
配置多个调度器
配置资源不足时的处理方式
限制存储消耗
集群 DNS 服务自动伸缩
集群安全
集群管理
静态加密 Secret 数据
配置 Pods 和容器
为容器和 Pod 分配内存资源
Assign CPU Resources to Containers and Pods
Configure GMSA for Windows Pods and containers (EN)
为 Windows 的 pod 和容器配置 RunAsUserName
配置 Pod 的服务质量
为容器分派扩展资源
配置 Pod 以使用卷进行存储
配置 Pod 以使用 PersistentVolume 作为存储
配置 Pod 使用投射卷作存储
Configure a Security Context for a Pod or Container (EN)
为 Pod 配置服务账户
从私有仓库拉取镜像
配置存活、就绪和启动探测器
Assign Pods to Nodes using Node Affinity (EN)
将 Pod 分配给节点
配置 Pod 初始化
为容器的生命周期事件设置处理函数
使用 ConfigMap 配置 Pod
在 Pod 中的容器之间共享进程命名空间
创建静态 Pod
将 Docker Compose 文件转换为 Kubernetes 资源
管理 Kubernetes 对象
Declarative Management of Kubernetes Objects Using Configuration Files (EN)
Declarative Management of Kubernetes Objects Using Kustomize (EN)
Managing Kubernetes Objects Using Imperative Commands (EN)
使用配置文件对 Kubernetes 对象进行命令式管理
给应用注入数据
为容器设置启动时要执行的命令及其入参
为容器设置环境变量
使用 PodPreset 将信息注入 Pods
使用 Secret 安全地分发凭证
通过文件将Pod信息呈现给容器
通过环境变量将Pod信息呈现给容器
运行应用
运行一个有状态的应用程序
使用 kubectl patch 更新 API 对象
删除 StatefulSet
强制删除 StatefulSet 类型的 Pods
基于Replication Controller执行滚动升级
Pod 水平自动伸缩
Horizontal Pod Autoscaler演练
指定应用程序的中断预算(Disruption Budget)
使用Deployment运行一个无状态应用
弹缩StatefulSet
运行一个单实例有状态应用
运行 Jobs
使用 CronJob 运行自动化任务
使用扩展进行并行处理
使用工作队列进行粗粒度并行处理
使用工作队列进行精细的并行处理
访问集群中的应用程序
网页界面 (Dashboard)
访问集群
使用端口转发来访问集群中的应用
使用服务来访问集群中的应用
创建一个外部负载均衡器
配置你的云平台防火墙
Set up Ingress on Minikube with the NGINX Ingress Controller (EN)
列出集群中所有运行容器的镜像
为集群配置 DNS
使用 Service 把前端连接到后端
同 Pod 内的容器使用共享卷通信
配置对多集群的访问
监控、日志和排错
Auditing
Auditing with Falco (EN)
Debug Running Pods (EN)
Logging Using Stackdriver (EN)
StackDriver 中的事件
使用 crictl 对 Kubernetes 节点进行调试
使用 ElasticSearch 和 Kibana 进行日志管理
在本地开发和调试服务
应用故障排查
应用自测与调试
排错
确定 Pod 失败的原因
节点健康监测
获取正在运行容器的 Shell
调试 Init 容器
调试 Pods 和 Replication Controllers
调试 Service
调试StatefulSet
资源指标管道
资源监控工具
集群故障排查
扩展 Kubernetes
使用自定义资源
Extend the Kubernetes API with CustomResourceDefinitions (EN)
用户自定义资源版本
配置聚合层
设置一个扩展的 API server
使用 HTTP 代理访问 Kubernetes API
TLS
管理集群中的 TLS 认证
证书轮换
联邦 - 在多个集群上运行一个应用
将 CoreDNS 设置为联邦集群的 DNS 提供者
使用联合服务来实现跨集群的服务发现
管理联邦控制平面
联邦 ConfigMap
联邦 DaemonSet
联邦 Deployment
联邦 Job
联邦 ReplicaSet
联邦 Secret
联邦事件
联邦命名空间
在联邦中设置放置策略
管理集群守护进程
对 DaemonSet 执行回滚
对 DaemonSet 执行滚动更新
安装服务目录
使用 Helm 安装 Service Catalog
使用 SC 安装服务目录
网络
验证 IPv4/IPv6 双协议栈
用插件扩展 kubectl
管理巨页(HugePages)
调度 GPUs

Edit This Page

静态加密 Secret 数据

本文展示如何启用和配置静态 Secret 数据的加密

准备开始

你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 如果你还没有集群,你可以通过 Minikube 构建一 个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:

要获知版本信息,请输入 kubectl version.

配置并确定是否已启用静态数据加密

kube-apiserver 的参数 --experimental-encryption-provider-config 控制 API 数据在 etcd 中的加密方式。 下面提供一个配置示例。

理解静态数据加密

kind: EncryptionConfiguration
apiVersion: apiserver.config.k8s.io/v1
resources:
  - resources:
    - secrets
    providers:
    - identity: {}
    - aesgcm:
        keys:
        - name: key1
          secret: c2VjcmV0IGlzIHNlY3VyZQ==
        - name: key2
          secret: dGhpcyBpcyBwYXNzd29yZA==
    - aescbc:
        keys:
        - name: key1
          secret: c2VjcmV0IGlzIHNlY3VyZQ==
        - name: key2
          secret: dGhpcyBpcyBwYXNzd29yZA==
    - secretbox:
        keys:
        - name: key1
          secret: YWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXoxMjM0NTY=

每个 resources 数组项目是一个单独的完整的配置。 resources.resources 字段是要加密的 Kubernetes 资源名称(resourceresource.group)的数组。 providers 数组是可能的加密 provider 的有序列表。每个条目只能指定一个 provider 类型(可以是 identityaescbc,但不能在同一个项目中同时指定)。

列表中的第一个提供者用于加密进入存储的资源。当从存储器读取资源时,与存储的数据匹配的所有提供者将尝试按顺序解密数据。 如果由于格式或密钥不匹配而导致提供者无法读取存储的数据,则会返回一个错误,以防止客户端访问该资源。

重要: 如果通过加密配置无法读取资源(因为密钥已更改),唯一的方法是直接从基础 etcd 中删除该密钥。任何尝试读取资源的调用将会失败,直到它被删除或提供有效的解密密钥。

Providers:

名称 加密类型 强度 速度 密钥长度 其它事项
identity N/A N/A N/A 不加密写入的资源。当设置为第一个 provider 时,资源将在新值写入时被解密。
aescbc 填充 PKCS#7 的 AES-CBC 最强 32字节 建议使用的加密项,但可能比 secretbox 稍微慢一些。
secretbox XSalsa20 和 Poly1305 更快 32字节 较新的标准,在需要高度评审的环境中可能不被接受。
aesgcm 带有随机数的 AES-GCM 必须每 200k 写入一次 最快 16, 24, 或者 32字节 建议不要使用,除非实施了自动密钥循环方案。
kms 使用信封加密方案:数据使用带有 PKCS#7 填充的 AES-CBC 通过 data encryption keys(DEK)加密,DEK 根据 Key Management Service(KMS)中的配置通过 key encryption keys(KEK)加密 最强 32字节 建议使用第三方工具进行密钥管理。为每个加密生成新的 DEK,并由用户控制 KEK 轮换来简化密钥轮换。配置 KMS 提供程序

每个 provider 都支持多个密钥 - 在解密时会按顺序使用密钥,如果是第一个 provider,则第一个密钥用于加密。

加密您的数据

创建一个新的加密配置文件:

kind: EncryptionConfiguration
apiVersion: apiserver.config.k8s.io/v1
resources:
  - resources:
    - secrets
    providers:
    - aescbc:
        keys:
        - name: key1
          secret: <BASE 64 ENCODED SECRET>
    - identity: {}

遵循如下步骤来创建一个新的 secret:

  1. 生成一个 32 字节的随机密钥并进行 base64 编码。如果您在 Linux 或 Mac OS X 上,请运行以下命令:

    head -c 32 /dev/urandom | base64
  1. 将这个值放入到 secret 字段中。
  2. 设置 kube-apiserver--experimental-encryption-provider-config 参数,将其指定到配置文件所在位置。
  3. 重启您的 API server。

重要: 您的配置文件包含可以解密 etcd 内容的密钥,因此您必须正确限制主设备的权限,以便只有能运行 kube-apiserver 的用户才能读取它。

验证数据是否被加密

数据在写入 etcd 时会被加密。重新启动你的 kube-apiserver 后,任何新创建或更新的密码在存储时都应该被加密。 如果想要检查,你可以使用 etcdctl 命令行程序来检索你的加密内容。

  1. 创建一个新的 secret,名称为 secret1,命名空间为 default

    kubectl create secret generic secret1 -n default --from-literal=mykey=mydata

  1. 使用 etcdctl 命令行,从 etcd 中读取 secret:

       ETCDCTL_API=3 etcdctl get /registry/secrets/default/secret1 [...] | hexdump -C

这里的 `[...]` 是用来连接 etcd 服务的额外参数。
  1. 验证存储的密钥前缀是否为 k8s:enc:aescbc:v1:,这表明 aescbc provider 已加密结果数据。

  2. 通过 API 检索,验证 secret 是否被正确解密:

    kubectl describe secret secret1 -n default

必须匹配 `mykey: mydata`

确保所有 secret 都被加密

由于 secret 是在写入时被加密,因此对 secret 执行更新也会加密该内容。

kubectl get secrets --all-namespaces -o json | kubectl replace -f -

上面的命令读取所有 secret,然后使用服务端加密来进行更新。 如果由于冲突写入而发生错误,请重试该命令。 对于较大的集群,您可能希望通过命名空间或更新脚本来分割 secret。

回滚解密密钥

在不发生停机的情况下更改 secret 需要多步操作,特别是在有多个 kube-apiserver 进程正在运行的高可用部署的情况下。

  1. 生成一个新密钥并将其添加为所有服务器上当前提供程序的第二个密钥条目
  2. 重新启动所有 kube-apiserver 进程以确保每台服务器都可以使用新密钥进行解密
  3. 将新密钥设置为 keys 数组中的第一个条目,以便在配置中使用其进行加密
  4. 重新启动所有 kube-apiserver 进程以确保每个服务器现在都使用新密钥进行加密
  5. 运行 kubectl get secrets --all-namespaces -o json | kubectl replace -f - 以用新密钥加密所有现有的秘密
  6. 在使用新密钥备份 etcd 后,从配置中删除旧的解密密钥并更新所有密钥

如果只有一个 kube-apiserver,第 2 步可能可以忽略。

解密所有数据

要禁用 rest 加密,请将 identity provider 作为配置中的第一个条目:

kind: EncryptionConfiguration
apiVersion: apiserver.config.k8s.io/v1
resources:
  - resources:
    - secrets
    providers:
    - identity: {}
    - aescbc:
        keys:
        - name: key1
          secret: <BASE 64 ENCODED SECRET>

并重新启动所有 kube-apiserver 进程。然后运行命令 kubectl get secrets --all-namespaces -o json | kubectl replace -f - 强制解密所有 secret。

反馈