Secret 加密
Secret 加密配置
从 v1.17.4+k3s1 开始可用
K3s 支持通过在 server 上传递标志--secrets-encryption来启用 Secret 加密;该标志将自动完成以下工作:
- 生成 AES-CBC 密钥
- 用生成的密钥生成一个加密配置文件
- 将该配置作为 encryption-provider-config 传递给 KubeAPI
加密配置文件的例子:
{
"kind": "EncryptionConfiguration",
"apiVersion": "apiserver.config.k8s.io/v1",
"resources": [
{
"resources": [
"secrets"
],
"providers": [
{
"aescbc": {
"keys": [
{
"name": "aescbckey",
"secret": "xxxxxxxxxxxxxxxxxxx"
}
]
}
},
{
"identity": {}
}
]
}
]
}
Secret 加密工具
从 v1.21.8+k3s1 起可用
K3s 包含一个实用工具 secrets-encrypt,它可以自动控制以下内容:
- 禁用/启用 Secret 加密功能
- 添加新的加密密钥
- 轮换和删除加密密钥
- 重新加密 Secret
警告:如果不按照正确的方式轮换加密密钥,可能会使你的集群永久损坏。请慎重行事。
单节点 server 加密密钥轮换
要在一个单节点集群上轮换 Secret 加密密钥:
使用标志 --secrets-encryption 启动 K3s server
注意:目前不支持在没有加密的情况下启动 K3s,并且以后再启用加密
准备
k3s secrets-encrypt prepare杀死并以相同的参数重新启动 K3s server
轮换
k3s secrets-encrypt rotate杀死并以相同的参数重新启动 K3s server
重新加密
k3s secrets-encrypt reencrypt
高可用加密密钥轮换
嵌入式数据库和外部数据库集群的步骤都是一样的。
要在 HA 上轮换 Secret 的加密密钥:
注意:
目前不支持在没有加密的情况下启动 K3s,并且以后再启用加密
虽然不是必须的,但建议你选择一个 server 节点来运行
secrets-encrypt命令。
用 --secrets-encryption 标志启动所有三个 K3s server。为简单起见,这些 server 将被称为 S1、S2、S3
在 S1 上做准备
k3s secrets-encrypt prepare杀死并以相同的参数重新启动 S1
一旦 S1 启动,杀死并重新启动 S2 和 S3
在 S1 上进行轮换
k3s secrets-encrypt rotate杀死并以相同的参数重新启动 S1
一旦 S1 启动,杀死并重新启动 S2 和 S3
在 S1 上重新加密
k3s secrets-encrypt reencrypt杀死并以相同的参数重新启动 S1
一旦 S1 启动,杀死并重新启动 S2 和 S3
单节点 Secret 加密的禁用/启用
在启动带有 --secrets-encryption 标志的 server 后,可以禁用 secrets 加密。
要在一个单节点集群上禁用 Secret 加密:
禁用
k3s secrets-encrypt disable杀死并重新启动 K3s server,参数相同
用标志重新加密
k3s secrets-encrypt reencrypt --force --skip
要在一个单节点集群上重新启用 Secret 加密:
启用
k3s secrets-encrypt enable杀死并以相同的参数重新启动 K3s server
使用标志重新加密
k3s secrets-encrypt reencrypt --force --skip
高可用 Secret 加密的禁用/启用
在使用 --secrets-encryption 标志启动 HA 集群后,可以禁用 Secret 加密。
注意:虽然不是必须的,但建议你选择一个 server 节点来运行
secrets-encrypt命令。
为简单起见,本指南中使用的三个 server 将被称为 S1、S2、S3。
要在一个 HA 集群上禁用 Secret 加密:
在 S1 上禁用
k3s secrets-encrypt disable杀死并以相同的参数重新启动 S1
一旦 S1 启动,杀死并重新启动 S2 和 S3
用 S1 上的标志重新加密
k3s secrets-encrypt reencrypt --force --skip
要在一个 HA 集群上重新启用 Secret 加密:
在 S1 上启用
k3s secrets-encrypt enable杀死并以相同的参数重新启动 S1
一旦 S1 启动,杀死并重新启动 S2 和 S3
用 S1 上的标志重新加密
k3s secrets-encrypt reencrypt --force --skip
Secret 加密状态
secrets-encrypt 工具包括一个 status 命令,显示节点上 Secret 加密的当前状态的信息。
单节点 server 上的命令示例:
$ k3s secrets-encrypt status
Encryption Status: Enabled
Current Rotation Stage: start
Server Encryption Hashes: All hashes match
Active Key Type Name
------ -------- ----
* AES-CBC aescbckey
HA 集群上的另一个示例,在轮换密钥之后,但在重新启动 server 之前:
$ k3s secrets-encrypt status
Encryption Status: Enabled
Current Rotation Stage: rotate
Server Encryption Hashes: hash does not match between node-1 and node-2
Active Key Type Name
------ -------- ----
* AES-CBC aescbckey-2021-12-10T22:54:38Z
AES-CBC aescbckey
各部分的详细信息如下:
- Encryption Status:显示节点上的 Secret 加密是否被禁用或启用
- Current Rotation Stage:表示节点当前的轮换阶段。
阶段有:
start,prepare,rotate,reencrypt_request,reencrypt_active,reencrypt_finished。 - Server Encryption Hashes:对 HA 集群很有用,这表明所有 server 的本地文件是否处于同一阶段。这可以用来确定在进行下一阶段之前是否需要重新启动 server。在上面的 HA 例子中,node-1 和 node-2 有不同的哈希值,表明它们目前没有相同的加密配置。重新启动 server 将同步它们的配置。
- Key Table:汇总有关在节点上找到的 Secret 加密密钥的信息。
- Active:如果有的话,"*"表示哪些密钥目前被用于 Secret 加密。Kubernetes 会使用一个激活的密钥来加密任何新的 Secret。
- Key Type:所有使用此工具的密钥都是
AES-CBC类型。参见更多信息这里。 - Name: 加密密钥的名称。