Secret 加密配置
K3s 支持启用静态加密。首次启动 server 时,传递标志 --secrets-encryption
将自动执行以下操作:
- 生成 AES-CBC 密钥
- 使用密钥生成加密配置文件
- 将配置作为 encryption-provider-config 传递给 KubeAPI
提示
如果不重新启动现有 server,则无法在其上启用 Secret 加密。
如果使用脚本或配置选项中描述的其他方法进行安装,请使用 curl -sfL https://get.k3s.io | sh -s - server --secrets-encryption
。
加密配置文件示例:
{
"kind": "EncryptionConfiguration",
"apiVersion": "apiserver.config.k8s.io/v1",
"resources": [
{
"resources": [
"secrets"
],
"providers": [
{
"aescbc": {
"keys": [
{
"name": "aescbckey",
"secret": "xxxxxxxxxxxxxxxxxxx"
}
]
}
},
{
"identity": {}
}
]
}
]
}
Secret 加密工具
K3s 包含一个实用工具 secrets-encrypt
,可以自动控制以下内容:
- 禁用/启用 Secret 加密
- 添加新的加密密钥
- 轮换和删除加密密钥
- 重新加密 Secret
有关详细信息,请参阅 k3s secrets-encrypt
命令文档。