有关 Kubernetes 的 Secret 并不安全这件事
发布时间:2022-01-14 12:31:34 所属栏目:Linux 来源:互联网
导读:K8s 提供了 Secret 资源供我们来保存、设置一些敏感信息,比如 API endpoint 地址,各种用户密码或 token 之类的信息。在没有使用 K8s 的时候,这些信息可能是通过配置文件或者环境变量在部署的时候设置的。 不过,Secret 其实并不安全,稍微用 kubectl 查看
|
K8s 提供了 Secret 资源供我们来保存、设置一些敏感信息,比如 API endpoint 地址,各种用户密码或 token 之类的信息。在没有使用 K8s 的时候,这些信息可能是通过配置文件或者环境变量在部署的时候设置的。 不过,Secret 其实并不安全,稍微用 kubectl 查看过 Secret 的人都知道,我们可以非常方便的看到 Secret 的原文,只要有相关的权限即可,尽管它的内容是 base64 编码的,这基本上等同于明文。 所以说,K8s 原生的 Secret 是非常简单的,不是特别适合在大型公司里直接使用,对 RBAC 的挑战也比较大,很多不该看到明文信息的人可能都能看到。尤其是现在很多公司采用了所谓的 GitOps 理念,很多东西都需要放到 VCS,比如 git 中,这一问题就更日益突出,因为 VCS 也得需要设置必要的权限。 简单来说,大概有几个地方都可以让不应该看到 Secret 内容的人获得 Secret 内容: etcd 存储 通过 API server 在 node 上直接查看文件 这里我们以这个例子来看一下 Secret 在 K8s 中的使用情况。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
