Utiliser le module complémentaire Secret Manager avec Google Kubernetes Engine

L'intégration entre Secret Manager et Google Kubernetes Engine (GKE) vous permet de stocker des données sensibles telles que des mots de passe et des certificats utilisés par les clusters GKE en tant que secrets dans Secret Manager.

Cette page explique comment utiliser le module complémentaire Secret Manager pour accéder aux secrets stockés dans Secret Manager en tant que volumes installés dans des pods Kubernetes.

Ce processus comprend les étapes suivantes :

1. Activer le module complémentaire Secret Manager sur une instance nouvelle ou existante cluster GKE.
2. Configurez des applications pour s'authentifier auprès de l'API Secret Manager.
3. Définissez les secrets à monter sur les pods Kubernetes à l'aide d'un fichier YAML SecretProviderClass.
4. Créez un volume dans lequel les secrets seront installés. Une fois le volume associé, les applications du conteneur peuvent accéder aux données du système de fichiers du conteneur.

Le module complémentaire Secret Manager est issu du pilote CSI Kubernetes Secrets Store Open Source. et le fournisseur Google Secret Manager. Si vous utilisez le pilote CSI du magasin de secrets Open Source pour accéder aux secrets, vous pouvez migrer vers le module complémentaire Secret Manager. Pour en savoir plus, consultez Migrez depuis le pilote CSI existant du magasin de secrets.

Avantages

Le module complémentaire Secret Manager offre les avantages suivants :

• Vous pouvez utiliser une solution entièrement gérée et prise en charge pour accéder aux secrets Secret Manager depuis GKE sans frais opérationnels.
• Vous n'avez pas besoin d'écrire de code personnalisé pour accéder aux secrets stockés dans Secret Manager.
• Vous pouvez stocker et gérer tous vos secrets de manière centralisée dans Secret Manager et accéder de manière sélective aux secrets des pods GKE à l'aide du le module complémentaire Secret Manager. Vous pouvez ainsi utiliser les fonctionnalités proposées par Secret Manager, telles que le chiffrement CMEK, le contrôle d'accès précis, la rotation gérée, la gestion du cycle de vie et les journaux d'audit, ainsi que les fonctionnalités Kubernetes, telles que la transmission de secrets aux conteneurs sous la forme de volumes montés.
• Le module complémentaire Secret Manager est compatible avec les clusters Standard et Autopilot.
• Le module complémentaire Secret Manager est compatible avec les nœuds qui utilisent Container-Optimized OS ou Ubuntu.

Limites

Le module complémentaire Secret Manager présente les limites suivantes:

• Le module complémentaire Secret Manager n'est pas compatible avec les fonctionnalités suivantes : sont disponibles dans le pilote CSI Open Source Secret Store:

  • Rotation automatique des secrets
  • Synchroniser en tant que secret Kubernetes

• Le module complémentaire Secret Manager n'est pas compatible avec les nœuds Windows Server.

Avant de commencer

• Enable the Secret Manager and Google Kubernetes Engine APIs.

  Enable the APIs

• Si vous souhaitez utiliser la Google Cloud CLI pour cette tâche, installez puis initialisez la gcloud CLI. Si vous avez déjà installé gcloud CLI, assurez-vous de disposer de la dernière version en exécutant la commande gcloud components update.

  Vous ne pouvez pas configurer manuellement le module complémentaire Secret Manager à l'aide de la Google Cloud SDK ou la console Google Cloud.

• Assurez-vous que votre cluster exécute GKE version 1.27.14-gke.1042001 ou ultérieure avec une image de nœud Linux.

• Si vous utilisez un cluster GKE Standard, assurez-vous que la fédération d'identité de charge de travail pour GKE est activée. La fédération d'identité de charge de travail pour GKE est activée par défaut sur un cluster Autopilot. Les pods Kubernetes utilisent la fédération d'identité de charge de travail pour GKE pour s'authentifier auprès de l'API Secret Manager.

Activer le module complémentaire Secret Manager

Vous pouvez activer le module complémentaire Secret Manager à la fois sur les clusters Standard et les clusters Autopilot.

Activer le module complémentaire Secret Manager sur un nouveau cluster GKE

Pour activer le module complémentaire Secret Manager lors de la création d'un cluster, procédez comme suit :

gcloud container clusters create CLUSTER_NAME \
    --enable-secret-manager \
    --location=LOCATION \
    --cluster-version=VERSION \
    --workload-pool=PROJECT_ID.svc.id.goog

gcloud container clusters create CLUSTER_NAME `
    --enable-secret-manager `
    --location=LOCATION `
    --cluster-version=VERSION `
    --workload-pool=PROJECT_ID.svc.id.goog

gcloud container clusters create CLUSTER_NAME ^
    --enable-secret-manager ^
    --location=LOCATION ^
    --cluster-version=VERSION ^
    --workload-pool=PROJECT_ID.svc.id.goog

gcloud container clusters create-auto CLUSTER_NAME \
    --enable-secret-manager \
    --cluster-version=VERSION \
    --location=LOCATION

gcloud container clusters create-auto CLUSTER_NAME `
    --enable-secret-manager `
    --cluster-version=VERSION `
    --location=LOCATION

gcloud container clusters create-auto CLUSTER_NAME ^
    --enable-secret-manager ^
    --cluster-version=VERSION ^
    --location=LOCATION

Après avoir activé le module complémentaire Secret Manager, peuvent utiliser le pilote CSI Secret Store dans les volumes Kubernetes à l'aide du pilote et nom de l'approvisionneur: secrets-store-gke.csi.k8s.io.

Activer le module complémentaire Secret Manager sur un cluster GKE existant

Pour activer le module complémentaire Secret Manager sur un cluster existant, procédez comme suit :

gcloud container clusters update CLUSTER_NAME \
    --enable-secret-manager \
    --location=LOCATION \

gcloud container clusters update CLUSTER_NAME `
    --enable-secret-manager `
    --location=LOCATION `

gcloud container clusters update CLUSTER_NAME ^
    --enable-secret-manager ^
    --location=LOCATION ^

Vérifier l'installation du module complémentaire Secret Manager

Pour vérifier que le module complémentaire Secret Manager est installé sur le cluster Kubernetes, exécutez la commande suivante :

  gcloud container clusters describe CLUSTER_NAME --location LOCATION | grep secretManagerConfig -A 1

Remplacez les éléments suivants :

• CLUSTER_NAME : nom du cluster
• LOCATION: emplacement de votre cluster, par exemple us-central1

Configurer des applications pour qu'elles s'authentifient auprès de l'API Secret Manager

Le fournisseur Google Secret Manager utilise l'identité de charge de travail du pod sur lequel un secret est installé lors de l'authentification API Secret Manager. Pour autoriser vos applications à s'authentifier auprès de l'API Secret Manager à l'aide de la fédération d'identité de charge de travail pour GKE, procédez comme suit :

• Créez un compte de service Kubernetes. ou utiliser un compte de service Kubernetes existant dans le même espace de noms que le pod sur laquelle vous souhaitez installer le secret.

• Créez une stratégie d'autorisation IAM (Identity and Access Management) pour le secret dans Secret Manager.

Les pods qui utilisent le compte de service Kubernetes configuré s'authentifient automatiquement comme identifiant principal IAM qui correspond ServiceAccount Kubernetes lors de l'accès à l'API Secret Manager.

Créer un compte de service Kubernetes

1. Enregistrez le manifeste suivant sous le nom service-account.yaml :

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     name: KSA_NAME
     namespace: NAMESPACE
   

   Remplacez les éléments suivants :

   • KSA_NAME: nom de votre nouveau compte de service Kubernetes
   • NAMESPACE : nom de l'espace de noms Kubernetes du compte de service

2. Appliquez le fichier manifeste :

   kubectl apply -f service-account.yaml
   

3. Créez une stratégie d'autorisation IAM qui fait référence au nouveau compte de service Kubernetes et lui accorde l'autorisation d'accéder au secret :

   gcloud secrets add-iam-policy-binding SECRET_NAME \
       --role=roles/secretmanager.secretAccessor \
       --member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME
   

   Remplacez les éléments suivants :

   • SECRET_NAME : nom du secret dans Secret Manager
   • PROJECT_NUMBER : numéro numérique de votre projet Google Cloud
   • PROJECT_ID : ID du projet Google Cloud qui contient votre cluster GKE
   • NAMESPACE: nom de l'espace de noms Kubernetes pour le ServiceAccount
   • KSA_NAME: nom de votre compte de service Kubernetes existant

Utiliser un compte de service Kubernetes existant

Créez une stratégie d'autorisation IAM qui référence les ressources ServiceAccount et accordez-lui l'autorisation d'accéder au secret:

gcloud secrets add-iam-policy-binding SECRET_NAME \
    --role=roles/secretmanager.secretAccessor \
    --member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME

Remplacez les éléments suivants :

• SECRET_NAME : nom du secret dans Secret Manager
• PROJECT_NUMBER : numéro numérique de votre projet Google Cloud
• PROJECT_ID : ID du projet Google Cloud qui contient votre cluster GKE
• NAMESPACE: nom de l'espace de noms Kubernetes pour le ServiceAccount
• KSA_NAME : nom de votre compte de service Kubernetes existant

Définir les secrets à installer

Pour spécifier les secrets à installer en tant que fichiers dans le pod Kubernetes, créez un fichier manifeste YAML SecretProviderClass et listez les secrets à installer et le nom de fichier à utiliser pour les installer. Procédez comme suit :

1. Enregistrez le manifeste suivant sous le nom app-secrets.yaml :

   apiVersion: secrets-store.csi.x-k8s.io/v1
   kind: SecretProviderClass
   metadata:
     name: SECRET_PROVIDER_CLASS_NAME
   spec:
     provider: gke
     parameters:
       secrets: |
         - resourceName: "projects/PROJECT_ID/secrets/SECRET_NAME/versions/SECRET_VERSION"
           path: "FILENAME.txt"
   

   Remplacez les éléments suivants :

   • SECRET_PROVIDER_CLASS_NAME : nom de votre objet SecretProviderClass.
   • PROJECT_ID : ID de votre projet.
   • SECRET_NAME: nom du secret.
   • SECRET_VERSION: version du secret.
   • FILENAME.txt : nom du fichier où la valeur du secret sera montée. Vous pouvez créer plusieurs fichiers à l'aide des variables resourceName et path.

2. Appliquez le fichier manifeste :

   kubectl apply -f app-secrets.yaml
   

3. Vérifiez que l'objet SecretProviderClass est créé :

   kubectl get SecretProviderClasses
   

Configurer un volume sur lequel les secrets seront installés

1. Enregistrez la configuration suivante sous my-pod.yaml :

   apiVersion: v1
   kind: Pod
   metadata:
     name: POD_NAME
     namespace: NAMESPACE
   spec:
     serviceAccountName: KSA_NAME
     containers:
     - image: IMAGE_NAME
       imagePullPolicy: IfNotPresent
       name: POD_NAME
       resources:
         requests:
           cpu: 100m
       stdin: true
       stdinOnce: true
       terminationMessagePath: /dev/termination-log
       terminationMessagePolicy: File
       tty: true
       volumeMounts:
         - mountPath: "/var/secrets"
           name: mysecret
     volumes:
     - name: mysecret
       csi:
         driver: secrets-store-gke.csi.k8s.io
         readOnly: true
         volumeAttributes:
           secretProviderClass: SECRET_PROVIDER_CLASS_NAME
   

   Remplacez les éléments suivants :

   • POD_NAME: nom du pod Kubernetes dans lequel le secret est installé
   • NAMESPACE : nom de l'espace de noms Kubernetes du compte de service
   • KSA_NAME: compte de service Kubernetes que vous avez configuré à l'étape Configurer les applications pour s'authentifier auprès de l'API Secret Manager.
   • IMAGE_NAME : nom de l'image de conteneur
   • SECRET_PROVIDER_CLASS_NAME: nom de votre objet SecretProviderClass.

2. Dans les clusters standards uniquement, ajoutez les éléments suivants au champ template.spec pour placer les pods sur des pools de nœuds qui utilisent la fédération d'identité de charge de travail pour GKE.

   Ignorez cette étape dans les clusters Autopilot, qui rejettent ce nodeSelector, car chaque nœud utilise la fédération d'identité de charge de travail pour GKE.

   spec:
     nodeSelector:
       iam.gke.io/gke-metadata-server-enabled: "true"
   

3. Appliquez la configuration à votre cluster.

   kubectl apply -f my-pod.yaml
   

Cette étape permet d'installer un volume mysecret dans /var/secrets à l'aide du pilote CSI. (secrets-store-gke.csi.k8s.io). Ce volume fait référence à l'objet SecretProviderClass qui sert de fournisseur.

Migrer depuis le pilote CSI existant du magasin de secrets

Si vous effectuez une migration vers le module complémentaire Secret Manager depuis votre l'installation existante du pilote CSI Secret Store ; modifiez le fichier manifeste de votre pod comme suit:

1. Mettez à jour le nom de votre SecretProviderClass et de votre provider comme décrit dans le fichier manifeste suivant :

   apiVersion: secrets-store.csi.x-k8s.io/v1
   kind: SecretProviderClass
   metadata:
     name: app-secrets-gke
   spec:
     provider: gke
     parameters:
       secrets: |
         - resourceName: "projects/<project_id>/secrets/<secret_name>/versions/<secret_version>"
           path: "good1.txt"
   

2. Mettez à jour driver et secretProviderClass pour votre cluster Kubernetes comme décrit dans le fichier manifeste suivant:

   volumes:
     - name: mysecret
       csi:
         driver: secrets-store-gke.csi.k8s.io
         readOnly: true
         volumeAttributes:
           secretProviderClass: "app-secrets-gke"
   

Désactiver le module complémentaire Secret Manager

Pour désactiver le module complémentaire Secret Manager sur un cluster Standard existant ou sur un cluster Autopilot, exécutez la commande suivante :

gcloud container clusters update CLUSTER_NAME \
    --no-enable-secret-manager \
    --region=REGION \

gcloud container clusters update CLUSTER_NAME `
    --no-enable-secret-manager `
    --region=REGION `

gcloud container clusters update CLUSTER_NAME ^
    --no-enable-secret-manager ^
    --region=REGION ^