更新时间:2023-11-15 GMT+08:00
分享

CCE服务端使用凭据管理服务

简介

CCE提供了多种类型的插件,用于管理集群的扩展功能,以支持选择性扩展满足特性需求的功能。CCE服务的dew-provider插件对接了凭据管理服务,通过该插件将凭据挂载至业务Pod内,从而将敏感信息与集群环境解耦,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密。

约束条件

  • 支持的集群版本:v1.19+。
  • 支持的集群类型:CCE Standard集群和CCE Turbo集群。

组件说明

表1 dew-provider组件

容器组件

说明

资源类型

dew-provider

dew-provider负责与凭据管理服务交互,从凭据管理服务中获取指定的凭据,并挂载到业务Pod内。

DaemonSet

secrets-store-csi-driver

secrets-store-csi-driver负责维护两个CRD资源,即SecretProviderClass(以下简称为SPC)和SecretProviderClassPodStatus(以下简称为spcPodStatus),其中SPC用于描述用户感兴趣的凭据信息(比如指定凭据的版本、凭据的名称等),由用户创建,并在业务Pod中进行引用;spcPodStatus用于跟踪Pod与凭据的绑定关系,由csi-driver自动创建,用户无需关心。一个Pod对应一个spcPodStatus,当Pod正常启动后,会生成一个与之对应的spcPodStatus;当Pod生命周期结束时,相应的spcPodStatus也会被删除。

DaemonSet

使用控制台安装插件

  1. 在CCE服务控制台,单击集群名称进入对应集群,单击左侧导航栏的“插件中心”,在右侧找到dew-provider插件,单击安装
  2. 在安装插件页面,在参数配置栏进行参数配置。参数配置说明如表 参数配置表所示。

    表2 参数配置表

    参数

    参数说明

    rotation_poll_interval

    轮转时间间隔。单位:分钟,即m(注意不是min)。

    轮转时间间隔表示向云凭据管理服务发起请求并获取最新的凭据的周期,合理的时间间隔范围为[1m, 1440m],默认值为2m。

  3. 单击“安装”。待插件安装完成后,选择对应的集群,然后单击左侧导航栏的“插件中心”,可在“已安装插件”页签中查看相应的插件。
  4. 插件成功使用需使用已在数据加密服务中创建好的凭据,否则挂载失败会导致Pod无法运行。具体创建凭据操作请参见创建通用凭据
  5. 插件安装完成后即可进行使用,具体操作步骤参见CCE密钥管理插件使用说明

分享:

    相关文档

    相关产品