解密已静态加密的机密数据

Kubernetes 中所有允许你写入持久 API 资源数据的 API 都支持静态加密。例如,你可以为Secret启用静态加密。这种静态加密是对 etcd 集群或运行 kube-apiserver 的主机上的文件系统的任何系统级加密的补充。

此页面展示如何从静态加密 API 数据切换,以便 API 数据以未加密的方式存储。你可能希望这样做以提高性能;但通常,如果对某些数据进行加密是个好主意,那么保持加密也是个好主意。

开始之前

  • 你需要有一个 Kubernetes 集群,并且必须配置 kubectl 命令行工具以与你的集群通信。建议在至少有两个不充当控制平面主机的节点的集群上运行此教程。 如果你还没有集群,你可以使用minikube创建一个,或者你可以使用这些 Kubernetes 游乐场之一

  • 此任务假定你正在每个控制平面节点上将 Kubernetes API 服务器作为静态 Pod运行。

  • 你的集群的控制平面**必须**使用 etcd v3.x(主版本 3,任何次版本)。

  • 要加密自定义资源,你的集群必须运行 Kubernetes v1.26 或更新版本。

  • 你应该有一些已经加密的 API 数据。

要检查版本,请输入 kubectl version

确定是否已启用静态加密

默认情况下,API 服务器使用 identity 提供程序,该提供程序存储资源的纯文本表示形式。**默认的 identity 提供程序不提供任何机密性保护。**

kube-apiserver 进程接受一个参数 --encryption-provider-config,该参数指定配置文件的路径。如果指定了该文件,则该文件的内容将控制 Kubernetes API 数据在 etcd 中的加密方式。如果未指定,则表示你未启用静态加密。

该配置文件的格式为 YAML,表示名为EncryptionConfiguration的配置 API 类型。你可以在静态加密配置中看到示例配置。

如果设置了 --encryption-provider-config,请检查哪些资源(例如 secrets)配置了加密以及使用了哪个提供程序。确保该资源类型的首选提供程序**不是** identity;只有当你想要禁用静态加密时,才将 identity(*不加密*)设置为默认值。验证资源的第一个列出的提供程序是否为**非** identity 的其他内容,这意味着任何写入该类型资源的新信息都将按配置进行加密。如果你确实看到 identity 作为任何资源的第一个列出的提供程序,则表示这些资源正在未加密的情况下写入 etcd。

解密所有数据

此示例显示如何停止静态加密 Secret API。如果要加密其他 API 类型,请调整步骤以匹配。

找到加密配置文件

首先,找到 API 服务器配置文件。在每个控制平面节点上,kube-apiserver 的静态 Pod 清单指定一个命令行参数 --encryption-provider-config。你可能会发现此文件是使用hostPath卷挂载到静态 Pod 中的。找到卷后,你可以在节点文件系统上找到该文件并检查它。

配置 API 服务器以解密对象

要禁用静态加密,请将 identity 提供程序作为加密配置文件的第一个条目。

例如,如果现有的 EncryptionConfiguration 文件读取

---
apiVersion: apiserver.config.k8s.io/v1
kind: EncryptionConfiguration
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            # Do not use this (invalid) example key for encryption
            - name: example
              secret: 2KfZgdiq2K0g2YrYpyDYs9mF2LPZhQ==

然后将其更改为

---
apiVersion: apiserver.config.k8s.io/v1
kind: EncryptionConfiguration
resources:
  - resources:
      - secrets
    providers:
      - identity: {} # add this line
      - aescbc:
          keys:
            - name: example
              secret: 2KfZgdiq2K0g2YrYpyDYs9mF2LPZhQ==

并在此节点上重新启动 kube-apiserver Pod。

重新配置其他控制平面主机

如果你的集群中有多个 API 服务器,则应依次将更改部署到每个 API 服务器。

确保你在每个控制平面主机上使用相同的加密配置。

强制解密

然后运行以下命令以强制解密所有 Secret

# If you are decrypting a different kind of object, change "secrets" to match.
kubectl get secrets --all-namespaces -o json | kubectl replace -f -

一旦你将**所有**现有的加密资源替换为不使用加密的后备数据,你就可以从 kube-apiserver 中删除加密设置。

要删除的命令行选项为

  • --encryption-provider-config
  • --encryption-provider-config-automatic-reload

再次重新启动 kube-apiserver Pod 以应用新配置。

重新配置其他控制平面主机

如果你的集群中有多个 API 服务器,则应再次依次将更改部署到每个 API 服务器。

确保你在每个控制平面主机上使用相同的加密配置。

下一步

上次修改时间为太平洋标准时间 2024 年 9 月 13 日上午 9:33:修复 markdown 文件中的一些超链接 (e6855623c7)