我们从Kubernetes开始,想知道其他项目如何管理Kubernetes的 secret :
最佳答案
how other projects manage Kubernetes secrets
由于它们不是(至少目前还不是)适当的 secret (base64编码),因此我们将它们分隔为受限访问git存储库。
我们的大多数项目都具有代码存储库(与CI / CD管道中的部署和服务等非 secret 相关的 list )和单独的 list 库(包含 namespace ,共享数据库init, secret 以及或多或少的以下任何一种):时间初始化与CI / CD分开,需要额外的许可才能实施,或者应以其他任何方式(例如 secret )加以限制)。
话虽这么说,尽管常规开发人员无法访问受限制的存储库,但必须特别注意CI / CD管道,因为即使您保护了 secret ,也可以在CI / CD阶段知道(并可以显示/滥用)它们。 ,因此那里的安全性可能很弱。通过让我们的DevOps之一监督和批准( protected 分支机构)对CI / CD管道的任何更改,就可以减轻这种情况,这与高级负责人监督要部署到生产环境的代码更改的方式几乎相同。
请注意,这在很大程度上取决于项目的数量和人员,以及在安全性/开发压力/基础架构集成方面的实际项目需求。
关于kubernetes - kubernetes secret 管理,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51624230/