Version 1.14. This version is no longer supported. For more information see the version support policy.

Utilizzo della crittografia dei secret sempre attivi

GKE su VMware versione 1.10 supporta la crittografia dei secret senza la necessità di un KMS (Key Management Service) esterno o di altre dipendenze.

Abilita la crittografia dei secret sempre attiva

La crittografia dei secret sempre attivi genera automaticamente una chiave di crittografia che viene utilizzata per criptare i secret prima che vengano archiviati nel database etcd del cluster. L'algoritmo di crittografia è A256GCM (AES GCM con chiave a 256 bit).

La versione della chiave è un numero di versione che indica la chiave attualmente in uso.

Puoi abilitare la crittografia dei secret dopo che un cluster è già stato creato.

Per il cluster di amministrazione:
1. Modifica il file di configurazione del cluster di amministrazione per aggiungere la sezione secretsEncryption.
2. Esegui il comando gkectl update.
```
gkectl update admin --config ADMIN_CLUSTER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG
```
Per un cluster utente:
1. Modifica il file di configurazione del cluster utente per aggiungere la sezione secretsEncryption.
2. Esegui il comando gkectl update.
```
gkectl update cluster --config USER_CONFIG_FILE --kubeconfig ADMIN_CLUSTER_KUBECONFIG
```

Sostituisci quanto segue:

ADMIN_KUBECONFIG con il percorso del file kubeconfig del cluster di amministrazione.
ADMIN_CLUSTER_CONFIG con il percorso del file di configurazione del cluster di amministrazione.
USER_CLUSTER_CONFIG con il percorso del file di configurazione del cluster utente.

I comandi gkectl update forniti in questa sezione possono essere utilizzati anche per qualsiasi altro aggiornamento al cluster corrispondente.

Archiviazione chiavi

Le chiavi di crittografia per il cluster di amministrazione sono archiviate nel disco dati del cluster di amministrazione. Questo disco è montato sulla macchina master di amministrazione all'indirizzo /opt/data e le chiavi di crittografia sono disponibili all'indirizzo /opt/data/gke-k8s-kms-plugin/generatedkeys/. È necessario eseguire il backup di queste chiavi per mantenere l'accesso ai secret criptati utilizzati dalla chiave.

Rotazione chiave

Per ruotare una chiave di crittografia esistente per un cluster, incrementa keyVersion nel file di configurazione del cluster di amministrazione o nel file di configurazione del cluster utente corrispondente ed esegui il comando gkectl update appropriato. Questa operazione crea una nuova chiave corrispondente al nuovo numero di versione, cripta nuovamente ogni secret e cancella in modo sicuro quello precedente. Tutti i nuovi secret successivi vengono criptati utilizzando la nuova chiave di crittografia.

Disabilita la crittografia dei secret sempre attivi

Per disabilitare la crittografia dei secret su un cluster esistente, aggiungi un campo disabled: true. Quindi, esegui il comando gkectl update corrispondente. Questo aggiornamento decripta tutti i secret esistenti e li archivia in testo normale. Tutti i nuovi secret successivi vengono archiviati in testo normale.

secretsEncryption:
  mode: GeneratedKey
  generatedKey:
    keyVersion: KEY_VERSION
    disabled: true