k3s secrets-encrypt

K3sは、保存時のシークレット暗号化を有効にすることをサポートしています。詳細については、Secrets Encryptionを参照してください。

シークレット暗号化ツール

バージョンゲート

v1.21.8+k3s1から利用可能

K3sには、以下の自動制御を可能にするCLIツールsecrets-encryptが含まれています：

• シークレット暗号化の無効化/有効化
• 新しい暗号化キーの追加
• 暗号化キーのローテーションと削除
• シークレットの再暗号化

警告

暗号化キーのローテーションの適切な手順に従わないと、クラスターが永久に破損する可能性があります。慎重に進めてください。

新しい暗号化キーのローテーション（実験的）

バージョンゲート

v1.28.1+k3s1から利用可能。この新しいバージョンのツールは、現在ベータ版のK8s 自動設定リロードを利用しています。GAはv1.29.0で予定されています。

古いリリースについては、Encryption Key Rotation Classicを参照してください。

Single-Server

シングルサーバークラスターでシークレット暗号化キーをローテーションするには：

1. フラグ--secrets-encryptionを使用してK3sサーバーを起動します。

   注記

   暗号化なしでK3sを起動し、後で有効にすることは現在サポートされていません。

2. シークレット暗号化キーをローテーションします。

   k3s secrets-encrypt rotate-keys

3. 再暗号化が完了するのを待ちます。サーバーログを監視するか、以下を待ちます：

   $ k3s secrets-encrypt status
   Encryption Status: Enabled
   Current Rotation Stage: reencrypt_finished

High-Availability

HAセットアップでシークレット暗号化キーをローテーションするには：

1. すべてのK3sサーバーを--secrets-encryptionフラグで起動します。簡略化のため、サーバーをS1、S2、S3と呼びます。

   注記

   暗号化なしでK3sを起動し、後で有効にすることは現在サポートされていません。

2. S1でシークレット暗号化キーをローテーションします。

   k3s secrets-encrypt rotate-keys

3. 再暗号化が完了するのを待ちます。サーバーログを監視するか、以下を待ちます：

   $ k3s secrets-encrypt status
   Encryption Status: Enabled
   Current Rotation Stage: reencrypt_finished
   備考

   K3sは1秒あたり約5つのシークレットを再暗号化します。シークレットの数が多いクラスターでは、再暗号化に数分かかることがあります。サーバーログで進行状況を確認できます。

4. 同じ引数でS1のK3sを再起動します。K3sをサービスとして実行している場合：

   # systemdを使用している場合
   systemctl restart k3s
   # openrcを使用している場合
   rc-service k3s restart

5. S1が起動したら、S2とS3のK3sを再起動します。

暗号化キーのローテーションクラシック

Single-Server

シングルサーバークラスターでシークレット暗号化キーをローテーションするには：

1. フラグ--secrets-encryptionを使用してK3sサーバーを起動します。

   注記

   暗号化なしでK3sを起動し、後で有効にすることは現在サポートされていません。

2. 準備します。

   k3s secrets-encrypt prepare

3. 同じ引数でK3sサーバーを再起動します。K3sをサービスとして実行している場合：

   # systemdを使用している場合
   systemctl restart k3s
   # openrcを使用している場合
   rc-service k3s restart

4. ローテーションします。

   k3s secrets-encrypt rotate

5. 同じ引数でK3sサーバーを再起動します。

6. 再暗号化します。

   備考

   K3sは1秒あたり約5つのシークレットを再暗号化します。
   シークレットの数が多いクラスターでは、再暗号化に数分かかることがあります。

   k3s secrets-encrypt reencrypt

High-Availability

埋め込みDBと外部DBクラスターの両方で手順は同じです。

HAセットアップでシークレット暗号化キーをローテーションするには：

1. すべてのK3sサーバーを--secrets-encryptionフラグで起動します。簡略化のため、サーバーをS1、S2、S3と呼びます。

   Notes

   • 暗号化なしでK3sを起動し、後で有効にすることは現在サポートされていません。
   • 必須ではありませんが、secrets-encryptコマンドを実行するサーバーノードを1つ選ぶことをお勧めします。

2. S1で準備します。

   k3s secrets-encrypt prepare

3. 同じ引数でS1を再起動します。K3sをサービスとして実行している場合：

   # systemdを使用している場合
   systemctl restart k3s
   # openrcを使用している場合
   rc-service k3s restart

4. S1が起動したら、S2とS3を再起動します。

5. S1でローテーションします。

   k3s secrets-encrypt rotate

6. 同じ引数でS1を再起動します。

7. S1が起動したら、S2とS3を再起動します。

8. S1で再暗号化します。

   備考

   K3sは1秒あたり約5つのシークレットを再暗号化します。
   シークレットの数が多いクラスターでは、再暗号化に数分かかることがあります。

   k3s secrets-encrypt reencrypt

9. 同じ引数でS1を再起動します。

10. S1が起動したら、S2とS3を再起動します。

シークレット暗号化の無効化/再有効化

Single-Server

--secrets-encryptionフラグを使用してサーバーを起動した後、シークレット暗号化を無効にすることができます。

シングルノードクラスターでシークレット暗号化を無効にするには：

1. 無効化します。

   k3s secrets-encrypt disable

2. 同じ引数でK3sサーバーを再起動します。K3sをサービスとして実行している場合：

   # systemdを使用している場合
   systemctl restart k3s
   # openrcを使用している場合
   rc-service k3s restart

3. フラグを使用して再暗号化します。

   k3s secrets-encrypt reencrypt --force --skip

シングルノードクラスターでシークレット暗号化を再有効化するには：

1. 有効化します。

   k3s secrets-encrypt enable

2. 同じ引数でK3sサーバーを再起動します。

3. フラグを使用して再暗号化します。

   k3s secrets-encrypt reencrypt --force --skip

High-Availability

--secrets-encryptionフラグを使用してHAクラスターを起動した後、シークレット暗号化を無効にすることができます。

注記

必須ではありませんが、secrets-encryptコマンドを実行するサーバーノードを1つ選ぶことをお勧めします。

簡略化のため、このガイドで使用する3つのサーバーをS1、S2、S3と呼びます。

HAクラスターでシークレット暗号化を無効にするには：

1. S1で無効化します。

   k3s secrets-encrypt disable

2. 同じ引数でS1を再起動します。K3sをサービスとして実行している場合：

   # systemdを使用している場合
   systemctl restart k3s
   # openrcを使用している場合
   rc-service k3s restart

3. S1が起動したら、S2とS3を再起動します。

4. S1でフラグを使用して再暗号化します。

   k3s secrets-encrypt reencrypt --force --skip

HAクラスターでシークレット暗号化を再有効化するには：

1. S1で有効化します。

   k3s secrets-encrypt enable

2. 同じ引数でS1を再起動します。

3. S1が起動したら、S2とS3を再起動します。

4. S1でフラグを使用して再暗号化します。

   k3s secrets-encrypt reencrypt --force --skip

シークレット暗号化のステータス

secrets-encryptツールには、ノード上のシークレット暗号化の現在のステータスに関する情報を表示するstatusコマンドが含まれています。

シングルサーバーノードでのコマンドの例：

$ k3s secrets-encrypt status
Encryption Status: Enabled
Current Rotation Stage: start
Server Encryption Hashes: All hashes match

Active  Key Type  Name
------  --------  ----
 *      AES-CBC   aescbckey

HAクラスターでの別の例、キーをローテーションした後、サーバーを再起動する前：

$ k3s secrets-encrypt status
Encryption Status: Enabled
Current Rotation Stage: rotate
Server Encryption Hashes: hash does not match between node-1 and node-2

Active  Key Type  Name
------  --------  ----
 *      AES-CBC   aescbckey-2021-12-10T22:54:38Z
        AES-CBC   aescbckey

各セクションの詳細は以下の通りです：

• Encryption Status: ノード上でシークレット暗号化が無効か有効かを表示します。
• Current Rotation Stage: ノード上の現在のローテーションステージを示します。
  ステージは：start、prepare、rotate、reencrypt_request、reencrypt_active、reencrypt_finishedです。
• Server Encryption Hashes: HAクラスターに役立ちます。これは、すべてのサーバーがローカルファイルと同じステージにあるかどうかを示します。次のステージに進む前にサーバーの再起動が必要かどうかを確認するために使用できます。上記のHAの例では、node-1とnode-2のハッシュが異なり、現在同じ暗号化設定を持っていないことを示しています。サーバーを再起動すると、設定が同期されます。
• Key Table: ノード上で見つかったシークレット暗号化キーに関する情報を要約します。
  • Active: "*"は、現在シークレット暗号化に使用されているキーを示します。アクティブなキーは、Kubernetesが新しいシークレットを暗号化するために使用します。
  • Key Type: このツールを使用するすべてのキーはAES-CBCタイプです。詳細はこちらを参照してください。
  • Name: 暗号化キーの名前。