本页面简要介绍了什么是 Kubernetes Secret 以及如何 Cloud Code 可帮助启用 Secret Manager API, 创建、使用和存储它们。
Kubernetes Secret 简介
创建 Kubernetes 应用时,通常需要将少量 密码、SSH 密钥或 OAuth 令牌的敏感数据。而非 将这些信息存储在 Pod 规范或容器映像中 可以创建 Secret 来存储敏感数据。
默认情况下,Kubernetes Secret 未加密存储在 API 服务器的 底层数据存储区具有 API 访问权限的任何人都可以检索或修改 Secret。 Kubernetes Secret 文档 建议您至少采取以下步骤,以便安全地使用 Kubernetes Secret:
- 启用静态加密 。
- 启用或配置 RBAC 规则 以及对 Secret 的最小访问权限。
- 限制对特定容器的 Secret 访问。
- 考虑使用外部 Secret 存储区提供程序。
Cloud Code 中的 Secret Manager
Cloud Code 可帮助您使用 Secret Manager API 执行以下操作: 使用 Google Cloud 控制台 静态加密 编写代码。 您可以仅在 Cloud Code 中使用 Secret Manager,或者 和已用于 Secret 管理的其他工具的基础。
使用 Cloud Code 的 IDE 中可用的操作包括:
- 启用 Secret Manager API。
- 创建 Kubernetes Secret(使用 Secret Manager 视图或编辑者视图。
- 版本、查看和删除 密钥。
- 从您的应用中访问 Secret。
- 将 Secret 添加为环境变量。
- 将 Secret 作为卷装载。
在 Cloud Code 中使用 Kubernetes Secret
有关创建、版本控制、使用和删除的分步说明 Secret,请参阅管理 Secret。
后续步骤
- 如需详细了解 Kubernetes Secret,请参阅 Kubernetes 文档。
- 熟悉 Kubernetes Secret 最佳做法。
- 考虑使用服务账号令牌 或其他 Secret 的替代方案。