La versione 1.10 dei cluster Anthos su VMware (GKE On-Prem) supporta la crittografia dei secret senza richiedere un KMS esterno (Service Management Key) o qualsiasi altra dipendenza.
Abilita la crittografia dei secret sempre attiva
La crittografia dei secret sempre attivi funziona generando automaticamente una chiave di crittografia che venga utilizzata per criptare i secret prima che siano archiviati nel database etcd per quel cluster.
La versione della chiave è un numero di versione per indicare la chiave attualmente in uso.
Puoi abilitare la crittografia dei secret dopo la creazione di un cluster.
Per il cluster di amministrazione:
Modifica il file di configurazione del cluster di amministrazione per aggiungere la sezione
secretsEncryption.Esegui il comando
gkectl update.gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Per un cluster utente:
Modifica il file di configurazione del cluster utente per aggiungere la sezione
secretsEncryption.Esegui il comando
gkectl update.gkectl update cluster --config USER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG
Sostituisci quanto segue:
ADMIN_KUBECONFIGcon il percorso del file kubeconfig del cluster di amministrazione.ADMIN_CLUSTER_CONFIGcon il percorso del file di configurazione del cluster di amministrazione.USER_CLUSTER_CONFIGcon il percorso del file di configurazione del cluster utente.
I comandi gkectl update forniti in questa sezione possono essere utilizzati anche per eventuali altri aggiornamenti del cluster corrispondente.
Archiviazione chiavi
Le chiavi di crittografia del cluster di amministrazione sono archiviate nel disco dati del cluster di amministrazione. Questo disco è montato sulla macchina master di amministrazione all'indirizzo /opt/data e le chiavi di crittografia sono disponibili all'indirizzo /opt/data/gke-k8s-kms-plugin/generatedkeys/. È necessario eseguire il backup di queste chiavi per mantenere l'accesso ai secret criptati utilizzati dalla chiave.
Rotazione di una chiave
Per ruotare una chiave di crittografia esistente per un cluster, incrementa keyVersion nel file di configurazione del cluster di amministrazione corrispondente o nel file di configurazione del cluster utente ed esegui il comando gkectl update appropriato. Viene creata una nuova chiave corrispondente al nuovo numero di versione, viene ricriptata ogni secret e viene cancellata in modo sicuro quella precedente. Tutti i nuovi secret successivi vengono criptati utilizzando la nuova chiave di crittografia.
Disabilita la crittografia dei secret sempre attiva
Per disabilitare la crittografia dei secret su un cluster esistente, rimuovi il campo keyVersion e aggiungi un campo disabled: true. Quindi, esegui il comando gkectl update corrispondente. Questo aggiornamento decripta ogni secret esistente e lo archivia in testo normale. Tutti i nuovi secret successivi sono archiviati in testo normale.
secretsEncryption:
mode: GeneratedKey
generatedKey:
disabled: true