文档首页> 云容器引擎 CCE> 用户指南(阿布扎比区域)> 插件> CCE密钥管理(对接 DEW)
更新时间:2024-01-04 GMT+08:00
查看PDF

CCE密钥管理(对接 DEW)

插件简介

CCE密钥管理(dew-provider)插件用于对接数据加密服务(Data Encryption Workshop, DEW)。该插件允许用户将存储在集群外部(即专门存储敏感信息的数据加密服务)的凭据挂载至业务Pod内,从而将敏感信息与集群环境解耦,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密。

约束与限制

  • 数据加密服务包含密钥管理(Key Management Service, KMS)、云凭据管理(Cloud Secret Management Service,CSMS)和密钥对管理(Key Pair Service, KPS)等服务。当前,该插件仅支持对接其中的云凭据管理服务。
  • 支持的集群版本:v1.19+。
  • 支持的集群类型:CCE Standard集群和CCE Turbo集群。
  • 允许创建的SecretProviderClass对象个数上限:500个。
  • 插件卸载时,会同时删除相关的CRD资源。即使重装插件,原有的SecretProviderClass对象也不可用,请谨慎操作。插件卸载再重装后,若需使用原有的SecretProviderClass资源,需重新手动创建。

插件说明

  • 基础挂载能力:安装完该插件后,通过创建SecretProviderClass对象,在业务Pod中声明Volume并进行引用,当启动Pod时,就会将在SecretProviderClass对象中声明的凭据信息挂载至Pod内。
  • 定时轮转能力:当Pod正常运行后,若其在SPC中声明的、存储在云凭据管理服务中的凭据发生了更新,通过定时轮转,可以将最新的凭据值刷新至Pod内。使用该能力时,需要将凭据的版本指定为”latest”。
  • 实时感知SPC变化能力:当Pod正常运行后,若用户修改了在SPC中声明的凭据信息(如新增凭据、改变原有凭据的版本号等),插件可实时感知该变化,并将更新后的凭据刷新至Pod内。

安装插件

  1. 登录CCE控制台,单击集群名称进入集群,单击左侧导航栏的“插件中心”,在右侧找到CCE密钥管理(对接DEW)插件,单击“安装”
  2. 在安装插件页面,在参数配置栏进行参数配置。参数配置说明如下。

    参数

    参数说明

    rotation_poll_interval

    轮转时间间隔。单位:分钟,即m(注意不是min)。

    轮转时间间隔表示向云凭据管理服务发起请求并获取最新的凭据的周期,合理的时间间隔范围为[1m, 1440m],默认值为2m。

  3. 单击“安装”。

    待插件安装完成后,选择对应的集群,然后单击左侧导航栏的“插件中心”,可在“已安装插件”页签中查看相应的插件。

组件说明

表1 dew-provider组件

容器组件

说明

资源类型

dew-provider

dew-provider负责与云凭据管理服务交互,从云凭据管理服务中获取指定的凭据,并挂载到业务Pod内。

DaemonSet

secrets-store-csi-driver

secrets-store-csi-driver负责维护两个CRD资源,即SecretProviderClass(以下简称为SPC)和SecretProviderClassPodStatus(以下简称为spcPodStatus),其中SPC用于描述用户感兴趣的凭据信息(比如指定凭据的版本、凭据的名称等),由用户创建,并在业务Pod中进行引用spcPodStatus用于跟踪Pod与凭据的绑定关系,由csi-driver自动创建,用户无需关心。一个Pod对应一个spcPodStatus,当Pod正常启动后,会生成一个与之对应的spcPodStatus;当Pod生命周期结束时,相应的spcPodStatus也会被删除。

DaemonSet

插件使用说明

  1. 创建ServiceAccount。

    1. 创建ServiceAccount对象,其中声明了允许业务使用的凭据名称,若用户引用了未在此处声明的凭据,则挂载失败,最终导致Pod无法运行

      根据如下模板创建serviceaccount.yaml,在cce.io/dew-resource字段中声明允许业务使用的凭据名称。这里声明了secret_1和secret_2,表示允许业务引用这两个凭据对象。在后续的操作中,若用户在业务中引用了secret_3,则无法通过校验,从而导致无法正常挂载该凭据,最终业务Pod将无法运行。

      apiVersion: v1
kind: ServiceAccount
metadata:
  name: nginx-spc-sa
  annotations:
    cce.io/dew-resource: "[\"secret_1\",\"secret_2\"]"  #secrets that allow pod to use

      这里需要明确,此处声明的凭据应确保在凭据管理服务中是存在的,如下图所示。否则,即使通过了校验,最终向凭据管理服务中获取相应凭据的时候也会出错,从而导致Pod无法正常运行。

    2. 执行如下命令创建ServiceAccount对象。

      kubectl apply -f serviceaccount.yaml

    3. 查看ServiceAccount对象是否已经正常创建,如下所示:
      $ kubectl get sa
NAME       SECRETS   AGE
default         1         18d   # 此为系统默认的ServiceAccount对象
nginx-spc-sa    1         19s   # 此为刚刚创建的ServiceAccount对象

      至此,一个名为“nginx-spc-sa”的ServiceAccount对象已正常创建。该对象将在后续的业务Pod中被引用。

  2. 创建SecretProviderClass。

    1. SecretProviderClass对象用于描述用户感兴趣的凭据信息(比如指定凭据的版本、凭据的名称等),由用户创建,并在业务Pod中进行引用。

      根据如下模板创建secretproviderclass.yaml。用户主要关注parameters.objects字段,它是一个数组,用于声明用户想要挂载的凭据信息

      apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
  name: spc-test
spec:
  provider: cce     # 固定为cce
  parameters:
    objects: |
          - objectName: "secret_1"
            objectVersion: "v1"
            objectType: "csms"

      参数

      参数类型

      是否必选

      参数说明

      objectName

      String

      凭据名称。若同一个SecretProviderClass中定义了多个objectName,不允许重名,否则会挂载失败。

      objectAlias

      String

      凭据写入到容器内的文件名称。若不指定,则凭据写入到容器内的文件名默认为objectName;若指定,则objectAlias与其他凭据的objectNameobjectAlias均不允许重名,与自身的objectName也不允许重名,否则会挂载失败。

      objectType

      String

      凭据类型。当前仅支持”csms”类型,其他均为非法输入。

      objectVersion

      String

      凭据的版本。

      • 指定某个具体的版本:v1,v2,…
      • 指定最新版本:latest。当指定objectVersion为” latest”时,若在云凭据管理服务侧对应的凭据发生了更新,更新后的凭据值将在经过一定时间间隔后(即rotation_poll_interval)刷新至Pod内。
    2. 执行如下命令创建SecretProviderClass对象。

      kubectl apply -f secretproviderclass.yaml

    3. 查看SecretProviderClass对象是否已经正常创建,如下所示:
      $ kubectl get spc
NAME   AGE
spc-test   20h

      至此,一个名为“spc-test”的SecretProviderClass对象已正常创建。该对象将在后续的业务Pod中被引用。

  3. 创建业务Pod。

    这里以创建一个nginx应用为例。

    1. 定义业务负载,在serviceAccountName中引用此前创建好的ServiceAccount对象,secretProviderClass中引用此前创建好的SPC对象,并在mountPath中指定容器内的挂载路径(这里需注意,用户不应该指定”/”,” /var/run”等特殊目录,否则可能影响容器的正常启动)。
      apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-spc
  labels:
    app: nginx
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      serviceAccountName: nginx-spc-sa   # 引用上面创建的ServiceAccount
      volumes:
        - name: secrets-store-inline
          csi:
            driver: secrets-store.csi.k8s.io
            readOnly: true
            volumeAttributes:
              secretProviderClass: "spc-test"  # 引用上面创建的SPC
      containers:
        - name: nginx-spc
          image: nginx:alpine
          imagePullPolicy: IfNotPresent
          volumeMounts:
            - name: secrets-store-inline
              mountPath: "/mnt/secrets-store"  # 定义容器内凭据的挂载路径
              readOnly: true
      imagePullSecrets:
        - name: default-secret
    2. 创建业务Pod。
      kubectl apply -f deployment.yaml
    3. 查看Pod是否已经正常创建,如下所示:
      $ kubectl get pod
NAME                     READY   STATUS   RESTARTS   AGE
nginx-spc-67c9d5b594-642np     1/1     Running    0            20s
    4. 进入容器,查看指定的凭据是否正常写入。如下所示:
      $ kubectl exec -ti nginx-spc-67c9d5b594-642np -- /bin/bash
root@nginx-spc-67c9d5b594-642np:/#  
root@nginx-spc-67c9d5b594-642np:/# cd /mnt/secrets-store/
root@nginx-spc-67c9d5b594-642np:/mnt/secrets-store# 
root@nginx-spc-67c9d5b594-642np:/mnt/secrets-store# ls
secret_1

      可以看到,用户在SPC对象中声明的secret_1已正常写入Pod。

      此外,还可以通过获取spcPodStatus查看Pod与凭据的绑定情况。如下所示:

      $ kubectl get spcps
NAME                                                                    AGE
nginx-spc-67c9d5b594-642np-default-spc-test   103s
$ kubectl get spcps nginx-spc-67c9d5b594-642np-default-spc-test -o yaml
......
status:
mounted: true
objects:    # 挂载的凭据信息
- id: secret_1
version: v1
podName: nginx-spc-67c9d5b594-642np   # 引用了SPC对象的Pod
secretProviderClassName: spc-test               # SPC对象
targetPath: /mnt/paas/kubernetes/kubelet/pods/6dd29596-5b78-44fb-9d4c-a5027c420617/volumes/kubernetes.io~csi/secrets-store-inline/mount

定时轮转

插件使用说明,通过使用该插件,用户可完成基本的凭据挂载功能,即能够将存储在凭据管理服务中的凭据写入到Pod内。

若将在SPC对象中声明的凭据版本改为”latest”,如下所示:

apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
  name: spc-test
spec:
  provider: cce
  parameters:
    objects: |
          - objectName: "secret_1"
            objectVersion: "latest"  # change "v1"to "latest"
            objectType: "csms"

更新该SPC对象后,插件将周期性地向凭据管理服务发起请求,获取凭据secret_1最新版本的值,并将其刷新至引用了该SPC对象的Pod内。此处插件周期性发起请求的时间间隔由安装插件时设置的rotation_poll_interval参数确定。

实时感知SPC变化

插件使用说明定时轮转的演示中,其实已经使用到了实时感知SPC变化的能力。为了演示说明,在SPC对象中新增一个凭据secret_2,如下所示:

apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
  name: spc-test
spec:
  provider: cce
  parameters:
    objects: |
          - objectName: "secret_1"
            objectVersion: "latest"
            objectType: "csms"
          - objectName: "secret_2"
            objectVersion: "v1"
            objectType: "csms"

更新该SPC对象后,新增的secret_2将很快挂载至引用了该SPC对象的Pod内。

查看组件日志

查看插件的Pod

$ kubectl get pod -n kube-system
NAME                          READY   STATUS      RESTARTS   AGE
csi-secrets-store-76tj2       3/3     Running     0           11h
dew-provider-hm5fq            1/1     Running     0           11h

查看dew-provider组件Pod日志

$ kubectl logs dew-provider-hm5fq -n kube-system
…日志信息略…
…

查看csi-secrets-store组件Pod日志,由于csi-secrets-store组件的Pod包含多个容器,在查看日志信息时,需通过”-c”命令指定某个容器。其中,secrets-store容器作为该插件的主业务容器,其包含了主要的日志信息。

$ kubectl logs csi-secrets-store-76tj2 -c secrets-store -n kube-system
…日志信息略…
…
父主题: 插件