本页面简要介绍了什么是 Kubernetes Secret,以及 Cloud Code 如何帮助启用 Secret Manager API 来创建、使用和存储 Secret。
Kubernetes Secret 简介
创建 Kubernetes 应用时,通常需要为密码、SSH 密钥或 OAuth 令牌传递少量敏感数据。可以创建 Kubernetes Secret 来存储敏感数据,而不是将这些信息存储在 Pod 规范或容器映像中。
默认情况下,Kubernetes Secret 以未加密形式存储在 API 服务器的底层数据存储区中。具有 API 访问权限的任何人都可以检索或修改密钥。Kubernetes Secret 文档建议至少执行以下步骤,以便安全地使用 Kubernetes Secret:
- 为 Secret 启用静态加密。
- 启用或配置对 Secret 具有最小访问权限的 RBAC 规则。
- 将 Secret 访问权限限制为特定容器。
- 考虑使用外部 Secret 存储区提供程序。
Cloud Code 中的 Secret Manager
Cloud Code 可帮助您在 IDE 中使用静态加密功能创建 Secret Manager API、对密文进行版本控制和存储。您既可以仅在 Cloud Code 中使用 Secret Manager,也可以与其他已用于 Secret 管理的工具一起使用。
您的 IDE 可通过 Cloud Code 执行的操作包括:
- 启用 Secret Manager API。
- 使用 Secret Manager 视图或编辑器视图创建 Kubernetes Secret。
- 版本控制,以及查看和删除 Secret。
- 从您的应用访问 Secret。
- 将 Secret 添加为环境变量。
- 将 Secret 作为卷装载。
在 Cloud Code 中处理 Kubernetes Secret
如需了解在 Cloud Code 中创建、版本控制、使用和删除密钥的分步说明,请参阅管理密钥。
后续步骤
- 如需详细了解 Kubernetes Secret,请参阅 Kubernetes 文档。
- 熟悉 Kubernetes Secret 的最佳实践。
- 请考虑使用服务帐号令牌或 Secret 的其他替代方案。