L'integrazione tra Secret Manager e Google Kubernetes Engine (GKE) consente di archiviare dati sensibili come password e certificati utilizzati dai cluster GKE come secret in Secret Manager.
Questa pagina spiega come utilizzare il componente aggiuntivo Secret Manager per accedere ai secret archiviati in Secret Manager come volumi montati nei pod Kubernetes.
Questa procedura prevede i seguenti passaggi:
- Installa il componente aggiuntivo Secret Manager su un cluster GKE nuovo o esistente.
- Configura le applicazioni per l'autenticazione nell'API Secret Manager.
- Definisci i secret da montare nei pod Kubernetes utilizzando un file YAML
SecretProviderClass
. - Crea un volume in cui montare i secret. Dopo aver collegato il volume, le applicazioni nel container possono accedere ai dati nel file system del container.
Il componente aggiuntivo Secret Manager deriva dal driver CSI di Kubernetes Secrets Store open source e dal provider di Google Secret Manager. Se utilizzi il driver CSI open source di Secret Manager per accedere ai secret, puoi eseguire la migrazione al componente aggiuntivo Secret Manager. Per informazioni, consulta Eseguire la migrazione dal driver CSI dell'archivio di secret esistente.
Vantaggi
Il componente aggiuntivo Secret Manager offre i seguenti vantaggi:
- Puoi utilizzare una soluzione completamente gestita e supportata per accedere ai secret di Secret Manager dall'interno di GKE senza overhead operativo.
- Non è necessario scrivere codice personalizzato per accedere ai secret archiviati in Secret Manager.
- Puoi archiviare e gestire tutti i tuoi secret a livello centrale in Secret Manager e accedere selettivamente ai secret dai pod GKE utilizzando il componente aggiuntivo Secret Manager. In questo modo, puoi utilizzare funzionalità offerte da Secret Manager come la crittografia CMEK, controllo granulare degli accessi, rotazione gestita, gestione del ciclo di vita e audit log, oltre all'utilizzo di funzionalità Kubernetes come la trasmissione di secret ai container sotto forma di volumi montati.
- Il componente aggiuntivo Secret Manager è supportato sia sui cluster standard che sui cluster Autopilot.
- Il componente aggiuntivo Secret Manager supporta i deployment
linux/arm64
elinux/amd64
.
Limitazioni
Questa release di anteprima del componente aggiuntivo Secret Manager non supporta le seguenti funzionalità disponibili nel driver CSI di Secret Manager open source:
Prima di iniziare
-
Abilita le API Secret Manager and Google Kubernetes Engine.
Se vuoi utilizzare Google Cloud CLI per questa attività, installa e quindi initialize gcloud CLI. Se hai già installato gcloud CLI, ottieni la versione più recente eseguendo il comando
gcloud components update
.Assicurati che il cluster esegua GKE 1.29 o versioni successive con un'immagine del nodo Linux. Il componente aggiuntivo Secret Manager non supporta i nodi Windows Server.
Installa il componente aggiuntivo Secret Manager
Puoi installare il componente aggiuntivo Secret Manager sia su cluster Standard che su cluster Autopilot. Assicurati che la federazione delle identità per i carichi di lavoro per GKE sia abilitata nel cluster Standard. La federazione delle identità per i carichi di lavoro per GKE è abilitata per impostazione predefinita in un cluster Autopilot. I pod Kubernetes usano Workload Identity per eseguire l'autenticazione nell'API Secret Manager.
Installa il componente aggiuntivo Secret Manager su un nuovo cluster GKE
Per installare il componente aggiuntivo Secret Manager nella creazione del cluster, segui questi passaggi:
Cluster standard
Per abilitare il componente aggiuntivo Secret Manager in un nuovo cluster Standard, esegui questo comando:
gcloud beta container clusters create CLUSTER_NAME \ --enable-secret-manager \ --location=LOCATION \ --cluster-version=VERSION \ --workload-pool=PROJECT_ID.svc.id.goog
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del tuo cluster.LOCATION
: la regione o la zona di Compute Engine per il cluster.VERSION
: la versione GKE specifica che vuoi utilizzare. Assicurati che il cluster esegua GKE 1.29 o versioni successive. Se il canale di rilascio predefinito non include questa versione, usa il flag--release-channel
per scegliere un canale di rilascio che lo includa.PROJECT_ID
: l'ID del tuo progetto Google Cloud.
Cluster Autopilot
Per abilitare il componente aggiuntivo Secret Manager in un nuovo cluster Autopilot, esegui questo comando:
gcloud beta container clusters create-auto CLUSTER_NAME \ --enable-secret-manager \ --cluster-version=VERSION \ --location=LOCATION
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del clusterVERSION
: la versione GKE specifica che vuoi utilizzare. Assicurati che il cluster esegua GKE 1.29 o versioni successive. Se il canale di rilascio predefinito non include questa versione, usa il flag--release-channel
per scegliere un canale di rilascio che lo includa.LOCATION
: la regione per il cluster, ad esempious-central1
.
Dopo aver abilitato il componente aggiuntivo Secret Manager, puoi utilizzare il driver CSI Secrets Store nei volumi Kubernetes utilizzando il nome del driver e del provisioner: secrets-store-gke.csi.k8s.io
.
Installa il componente aggiuntivo Secret Manager su un cluster GKE esistente
Per abilitare il componente aggiuntivo Secret Manager su un cluster esistente, esegui questo comando:
gcloud beta container clusters update CLUSTER_NAME \
--enable-secret-manager \
--location=LOCATION
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del cluster esistenteLOCATION
: la regione per il cluster, ad esempious-central1
.
Configura le applicazioni per l'autenticazione nell'API Secret Manager
Il provider di Google Secret Manager utilizza l'identità del carico di lavoro del pod su cui è montato un secret durante l'autenticazione nell'API Secret Manager. Segui questi passaggi per consentire l'autenticazione delle applicazioni nell'API Secret Manager utilizzando la federazione delle identità per i carichi di lavoro:
Crea un nuovo Account di servizio Kubernetes o utilizza un Account di servizio Kubernetes esistente in qualsiasi spazio dei nomi, incluso l'Account di servizio Kubernetes predefinito.
Crea un criterio di autorizzazione di Identity and Access Management (IAM) per il secret in Secret Manager.
I pod che utilizzano l'account di servizio Kubernetes configurato vengono automaticamente autenticati come identificatore entità IAM corrispondente all'account di servizio Kubernetes quando accedono all'API Secret Manager.
Crea un nuovo ServiceAccount per Kubernetes
Salva il seguente manifest come
service-account.yaml
:apiVersion: v1 kind: ServiceAccount metadata: name: KSA_NAME namespace: NAMESPACE
Sostituisci quanto segue:
KSA_NAME
: il nome del tuo nuovo account di servizio KubernetesNAMESPACE
: il nome dello spazio dei nomi Kubernetes per ServiceAccount
Applica il manifest:
kubectl apply -f service-account.yaml
Crea un criterio di autorizzazione IAM che fa riferimento al nuovo account di servizio Kubernetes e concedigli l'autorizzazione per accedere al secret:
gcloud secrets add-iam-policy-binding SECRET_NAME \ --role=roles/secretmanager.secretAccessor \ --member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME
Sostituisci quanto segue:
SECRET_NAME
: il nome del secret in Secret ManagerPROJECT_NUMBER
: il numero numerico del progetto Google CloudPROJECT_ID
: l'ID del progetto Google Cloud che contiene il tuo cluster GKENAMESPACE
: il nome dello spazio dei nomi Kubernetes per ServiceAccountKSA_NAME
: il nome del tuo account di servizio Kubernetes esistente
Usa un account di servizio Kubernetes esistente
Crea un criterio di autorizzazione IAM che fa riferimento all'account di servizio Kubernetes esistente e concedigli l'autorizzazione per accedere al secret:
gcloud secrets add-iam-policy-binding SECRET_NAME \
--role=roles/secretmanager.secretAccessor \
--member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME
Sostituisci quanto segue:
SECRET_NAME
: il nome del secret in Secret ManagerPROJECT_NUMBER
: il numero numerico del progetto Google CloudPROJECT_ID
: l'ID del progetto Google Cloud che contiene il tuo cluster GKENAMESPACE
: il nome dello spazio dei nomi Kubernetes per ServiceAccountKSA_NAME
: il nome del tuo account di servizio Kubernetes esistente
Definisci quali secret montare
Per specificare quali secret montare come file nel pod Kubernetes, crea un
file manifest YAML SecretProviderClass
ed elenca i secret da montare e il nome file
su cui montarli. Segui questi passaggi:
Salva il seguente manifest come
app-secrets.yaml
:apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: SECRET_PROVIDER_CLASS_NAME spec: provider: gke parameters: secrets: | - resourceName: "projects/PROJECT_ID/secrets/SECRET_NAME/versions/SECRET_VERSION" path: "FILENAME.txt"
Sostituisci quanto segue:
SECRET_PROVIDER_CLASS_NAME
: il nome dell'oggettoSecretProviderClass
PROJECT_ID
: il tuo ID progettoSECRET_NAME
: il nome del secretSECRET_VERSION
: la versione del secretFILENAME.txt
: il nome del file in cui verrà montato il valore del secret. Puoi creare più file utilizzando le variabiliresourceName
epath
.
Applica il manifest:
kubectl apply -f app-secrets.yaml
Verifica che l'oggetto
SecretProviderClass
sia stato creato:kubectl get SecretProviderClasses
Configura un volume in cui verranno montati i secret
Salva la seguente configurazione come
my-pod.yaml
:apiVersion: v1 kind: Pod metadata: name: POD_NAME namespace: default spec: serviceAccountName: KSA_NAME containers: - image: IMAGE_NAME imagePullPolicy: IfNotPresent name: POD_NAME resources: requests: cpu: 100m stdin: true stdinOnce: true terminationMessagePath: /dev/termination-log terminationMessagePolicy: File tty: true volumeMounts: - mountPath: "/var/secrets" name: mysecret volumes: - name: mysecret csi: driver: secrets-store-gke.csi.k8s.io readOnly: true volumeAttributes: secretProviderClass: SECRET_PROVIDER_CLASS_NAME
Sostituisci quanto segue:
POD_NAME
: il nome del pod Kubernetes in cui è montato il secretKSA_NAME
: l'account di servizio Kubernetes che hai configurato nel passaggio Configurare l'account di servizio Workload IdentityIMAGE_NAME
: nome dell'immagine containerSECRET_PROVIDER_CLASS_NAME
: il nome dell'oggettoSecretProviderClass
Applica la configurazione al cluster.
kubectl apply -f my-pod.yaml
Questo passaggio monta un volume mysecret
in /var/secrets
utilizzando il driver CSI
(secrets-store-gke.csi.k8s.io). Questo volume fa riferimento all'oggetto SecretProviderClass
che funge da provider.
Esegui la migrazione dal driver CSI dell'archivio di secret esistente
Se esegui la migrazione al componente aggiuntivo Secret Manager dalla tua installazione esistente del driver CSI di Secrets Store, aggiorna il manifest del pod come segue:
Aggiorna il nome di
SecretProviderClass
eprovider
come descritto nel seguente manifest:apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: app-secrets-gke spec: provider: gke parameters: secrets: | - resourceName: "projects/<project_id>/secrets/<secret_name>/versions/<secret_version>" path: "good1.txt"
Aggiorna
driver
esecretProviderClass
per il volume Kubernetes come descritto nel seguente manifest:volumes: - name: mysecret csi: driver: secrets-store-gke.csi.k8s.io readOnly: true volumeAttributes: secretProviderClass: "app-secrets-gke"
Disabilita il componente aggiuntivo Secret Manager
Per disabilitare il componente aggiuntivo Secret Manager in un cluster standard esistente o in un cluster Autopilot, esegui questo comando:
gcloud beta container clusters update CLUSTER_NAME \
--no-enable-secret-manager \
--region=REGION
Sostituisci quanto segue:
CLUSTER_NAME
: il nome del clusterREGION
: la regione del tuo cluster, ad esempious-central1