更新时间:2023-11-15 GMT+08:00
CCE服务端使用凭据管理服务
简介
CCE提供了多种类型的插件,用于管理集群的扩展功能,以支持选择性扩展满足特性需求的功能。CCE服务的dew-provider插件对接了凭据管理服务,通过该插件将凭据挂载至业务Pod内,从而将敏感信息与集群环境解耦,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密。
约束条件
- 支持的集群版本:v1.19+。
- 支持的集群类型:CCE Standard集群和CCE Turbo集群。
组件说明
容器组件 |
说明 |
资源类型 |
|---|---|---|
dew-provider |
dew-provider负责与凭据管理服务交互,从凭据管理服务中获取指定的凭据,并挂载到业务Pod内。 |
DaemonSet |
secrets-store-csi-driver |
secrets-store-csi-driver负责维护两个CRD资源,即SecretProviderClass(以下简称为SPC)和SecretProviderClassPodStatus(以下简称为spcPodStatus),其中SPC用于描述用户感兴趣的凭据信息(比如指定凭据的版本、凭据的名称等),由用户创建,并在业务Pod中进行引用;spcPodStatus用于跟踪Pod与凭据的绑定关系,由csi-driver自动创建,用户无需关心。一个Pod对应一个spcPodStatus,当Pod正常启动后,会生成一个与之对应的spcPodStatus;当Pod生命周期结束时,相应的spcPodStatus也会被删除。 |
DaemonSet |
使用控制台安装插件
- 在CCE服务控制台,单击集群名称进入对应集群,单击左侧导航栏的“插件中心”,在右侧找到dew-provider插件,单击。
- 在安装插件页面,在参数配置栏进行参数配置。参数配置说明如表 参数配置表所示。
- 单击“安装”。待插件安装完成后,选择对应的集群,然后单击左侧导航栏的“插件中心”,可在“已安装插件”页签中查看相应的插件。
- 插件成功使用需使用已在数据加密服务中创建好的凭据,否则挂载失败会导致Pod无法运行。具体创建凭据操作请参见创建通用凭据。
- 插件安装完成后即可进行使用,具体操作步骤参见CCE密钥管理插件使用说明。
父主题: 云服务使用凭据管理服务
