Zum Hauptinhalt springen

Sealed Secrets

Sealed Secrets verschlüsselt Kubernetes Secrets, damit diese ohne Bedenken in einem git Repository gespeichert werden können.

Details

Der Inhalt eines Kubernetes Secret ist üblicherweise nicht verschlüsselt, wodurch es nicht zu empfehlen ist das Secret zusammen mit anderen Kubernetes Definitionen in der Versionskontrolle oder an einem ungesicherten Ort zu speichern. Dadurch werden manuelle und fehleranfällige Schritte notwendig um eine Applikation zu Deployen. Als Lösung betreiben wir einen Controller, der das Entschlüsseln der Sealed Secrets übernimmt um diese in normale Secret Objekte umwandelt.

Verfügbarkeit

Sealed Secrets sind standardmässig Teil von nine Managed GKE.

Scopes

Der Scope ist nichts anderes als der Kontext von versiegelten Secrets innerhalb eines Kubernetes-Clusters. Der Scope bezeichnet den Kontext in dem ein verschlüsseltes Kubernetes Secret in einem Kubernetes Cluster entschlüsselt werden kann.

Die möglichen Scopes sind:

  • strict (Standard): Das verschlüsselte Secret darf nur mit dem angegeben Namen und Namespace verwendet werden. Diese Attribute werden Teil der verschlüsselten Daten und daher würde das Ändern von Name und/oder Namespace zu einem "decryption error" führen.
  • namespace-wide: Sie können das Sealed Secret innerhalb eines bestimmten Namespaces frei umbenennen.
  • cluster-wide: Das Secret kann in jedem Namespace entschlüsselt und mit beliebigem Namen versehen werden.

Standardmässig ist der strict Scope ausgewählt, es sei denn, Sie übergeben das --scope Flag mit einem anderen Wert an die kubeseal-CLI.

Es ist auch möglich, einen Scope über annotations in dem Secret zu setzen, welches Sie an kubeseal zur Erstellung des verschlüsselten Secrets übergeben. Weitere Einzelheiten finden Sie in der Scopes-Dokumentation.

Nutzung

Strict Scope (Standard)

Der einfachste Weg ein Sealed Secret zu erstellen ist durch unseren Generator auf runway.

  1. Generieren eines Sealed Secret durch ausfüllen des Formulares im Secrets Generator Tab.

  2. Sealed Secret herunterladen.

  3. Anwenden via kubectl.

    $ kubectl apply -f ~/Downloads/cloudsql-prod.yaml
    sealedsecret.bitnami.com/cloudsql-prod created

  4. Überprüfen des Secret, welches der Controller für uns erstellt hat.

    $ kubectl get secret cloudsql-prod --template={{.data.password}} | base64 -d
    s#g{eJJ#O)p~VCHVNt26*WGD3

Um das Secret zu löschen, kann einfach das Sealed Secret gelöscht werden und der Controller wird auch das Secret Objekt entfernen.

$ kubectl delete sealedsecret cloudsql-prod
sealedsecret.bitnami.com "cloudsql-prod" deleted

Beachten Sie, dass wir in einem produktiven Szenario nicht empfehlen das Sealed Secret lokal mit kubectl anzuwenden. Stattdessen können Sie es in Ihrem Konfigurations Repository speichern und Argo CD das erstellen überlassen.

Cluster-wide Scope

Die Vorgehensweise ist der des strict scopes recht ähnlich. Jedoch kann hier der Generator auf runway nicht genutzt werden. Um Sealed Secrets zu nutzen, müssen Sie zunächst das CLI-Utility kubeseal installieren, welches Teil des sealed-secrets Projektes ist. Nach der Installation von kubeseal können Sie Secrets lokal verschlüsseln.

  1. Definieren Sie dazu Ihr normales, unverschlüsseltes Secret in einer lokalen Datei mit dem Namen secret.yaml.

    apiVersion: v1
    kind: Secret
    metadata:
      name: example
    type: Opaque
    stringData:
      password: verysecureerysecure

  2. Verwenden Sie kubeseal, um eine verschlüsselte SealedSecret Ressource zu generieren.

    Beachten Sie, dass Sie --scope cluster-wide an die kubeseal-CLI übergeben (oder annotations verwenden müssen).

    Bitte lesen Sie die Dokumentation zum Cluster login, um zu erfahren, wie Sie Ihre <project-number> erhalten.

    $ kubeseal --cert https://sealed-secrets.apps.<project-number>.ninegcp.ch/v1/cert.pem --scope cluster-wide < secret.yaml > sealed-secret.json

  3. Nutzen sie kubectl um das Sealed Secret auf dem Cluster zu erstellen.

    $ kubectl apply -f sealed-secret.json
    sealedsecret.bitnami.com/example created

  4. Überprüfen Sie die Secret Ressource, die der Controller erstellt hat.

    $ kubectl get secret example -o jsonpath='{.data.password}' | base64 -d
    verysecureerysecure

Um das Secret wieder zu löschen, kann einfach das SealedSecret gelöscht werden. Der Controller entfernt dann das Secret Objekt.

$ kubectl delete sealedsecret example
sealedsecret.bitnami.com "example" deleted