管理应用 Secret

本页介绍了管理您使用 Cloud Deploy 部署到 Google Kubernetes Engine 或 GKE Enterprise 集群的应用的 Secret 的一些最佳实践。

由于将应用 Secret 注入部署工件会带来安全风险，因此请避免在 Cloud Deploy 流水线中管理 Secret。

以这种方式使用的 Secret 应在 Cloud Deploy 的范围之外生成、管理和轮替。

此上下文中的 Secret 是指敏感数据，例如数据库凭据、API 密钥、证书或密码。

Kubernetes Secret

Kubernetes Secret 是用于在集群中（独立于 Pod）存储敏感数据（例如密码、OAuth 令牌和 SSH 密钥）的安全对象。Secret 类似于 ConfigMap，但用于保存机密数据。

由于 Kubernetes Secret 默认不安全，如果没有加密，则本文档中所述的方法不会使用它们。

管理要用于 Cloud Deploy 的 Secret

本部分介绍如何管理您使用 Cloud Deploy 部署的应用的 Secret。

以下是使用 GKE 或 GKE Enterprise 进行 Secret 管理的两种方法：

• Google Secret Manager

• Hashicorp Vault

Google Secret Manager

Secret Manager 是一项全代管式多区域 Google Cloud服务，可安全存储 API 密钥、密码和其他敏感数据。

可从集群中使用客户端库和 Workload Identity 身份验证或使用 Secret Store CSI 驱动程序来从 Secret Manager 中访问 Secret。

如需将 Secret Manager 用于您的应用，请执行以下操作：

1. 使用 Secret Manager 创建 Secret。

2. 使用 SDK 从您的应用代码引用 Secret。

您可以使用环境变量（例如 Secret 版本）或应用环境（例如开发、暂存、生产）指定 Secret 的其他元数据。

如果特定功能的部署过程包括基础架构预配，请在部署应用之前使用 Secret Manager 创建或更新 Secret。

如需详细了解如何使用 Secret Manager 管理 Kubernetes Secret，请参阅将 Secret Manager 与其他产品搭配使用 。

Hashicorp Vault

Hashicorp Vault 是一种常用且广泛使用的 Secret 管理开源工具。 Google Cloud 具有针对 Vault 以及其他 Hashicorp 工具（如 Terraform）的大量集成和支持。

您可以按如下方式在 Kubernetes 集群中配置 Vault：

1. 通过 API 访问 Vault Secret，并使用 Workload Identity 进行身份验证。

2. 使用 Vault Agent 容器将 Secret 注入 Kubernetes Pod。

3. 使用 Vault CSI Provider 使用这些 Secret。

后续步骤

• 详细了解 Secret Manager 最佳做法。

• 阅读有关在 Google Cloud 上使用 HashiCorp Vault 和 Terraform 的安全最佳做法的博文。

• 详细了解 GKE 中的 Secret 管理。

• 了解如何在 Google Cloud上配置 Vault。