vi
new
0
Avatar
Kubernetes @kubernetes
596 29 36
Đã đăng vào thg 12 25, 2024 3:21 SA 8 phút đọc
117

Bí kíp quản lý dữ liệu nhạy cảm trên Kubernetes với ConfigMaps và Secrets

Kubernetes cung cấp hai tài nguyên quan trọng là ConfigMaps và Secrets để quản lý cấu hình ứng dụng và dữ liệu nhạy cảm. Cùng tìm hiểu cách sử dụng hiệu quả ConfigMaps và Secrets để quản lý cấu hình và dữ liệu nhạy cảm, đồng thời đảm bảo tính bảo mật và linh hoạt.

ConfigMaps trong Kubernetes là gì?

ConfigMaps là tài nguyên Kubernetes được sử dụng để lưu trữ dữ liệu cấu hình không nhạy cảm. Chúng cho phép bạn tách biệt các chi tiết cấu hình khỏi mã ứng dụng và cung cấp một cách để quản lý các cài đặt có thể dễ dàng cập nhật mà không yêu cầu thay đổi mã nguồn của ứng dụng.

Một ConfigMap có thể chứa các cặp khóa-giá trị, tệp cấu hình hoặc biến môi trường mà ứng dụng của bạn cần để chạy. Ví dụ: bạn có thể lưu trữ URL cơ sở dữ liệu, khóa API (không nhạy cảm) hoặc bất kỳ cài đặt cấu hình nào khác trong ConfigMap.

Hướng dẫn cách tạo và sử dụng ConfigMaps

Tạo ConfigMap: Bạn có thể tạo ConfigMap từ các cặp khóa-giá trị hoặc từ các tệp cấu hình. Dưới đây là ví dụ về việc tạo ConfigMap từ một giá trị bằng chữ:

   kubectl create configmap my-config --from-literal=db_host=localhost --from-literal=db_port=3306

Bạn cũng có thể tạo ConfigMap từ một tệp:

   kubectl create configmap my-config --from-file=config.properties

Tham chiếu ConfigMap trong Pod: Sau khi tạo ConfigMap, bạn có thể tham chiếu nó trong Kubernetes Pods của mình. ConfigMaps có thể được sử dụng dưới dạng biến môi trường, volume hoặc trực tiếp trong lệnh của container.

Ví dụ về việc sử dụng ConfigMap làm biến môi trường:

   apiVersion: v1
   kind: Pod
   metadata:
     name: my-app
   spec:
     containers:
     - name: my-app-container
       image: my-app-image
       envFrom:
       - configMapRef:
           name: my-config

Trong ví dụ này, các giá trị được lưu trữ trong my-config ConfigMap được đưa vào như các biến môi trường bên trong container.

Cập nhật ConfigMaps: Bạn có thể cập nhật ConfigMap mà không cần phải sửa đổi mã ứng dụng. Nếu ConfigMap được cập nhật, Kubernetes sẽ tự động kích hoạt cập nhật rolling update cho các deployment tham chiếu đến ConfigMap.

   kubectl create configmap my-config --from-literal=db_host=updated-host -o yaml --dry-run=client | kubectl apply -f -

Lưu ý: Để sử dụng các giá trị ConfigMap mới, bạn có thể cần khởi động lại Pods hoặc Kubernetes sẽ kích hoạt khởi động lại tùy thuộc vào cấu hình ứng dụng.

Secrets trong Kubernetes là gì?

Secrets trong Kubernetes tương tự như ConfigMaps, nhưng chúng được thiết kế để lưu trữ dữ liệu nhạy cảm như mật khẩu, mã thông báo OAuth, khóa SSH, v.v. Secrets được lưu trữ ở định dạng được mã hóa (Base64) và có thể được tham chiếu một cách an toàn bởi Pods và các tài nguyên khác.

Mặc dù Kubernetes không mã hóa Secrets theo mặc định nhưng chúng an toàn hơn văn bản thuần túy trong kho lưu trữ mã vì Kubernetes cung cấp các cơ chế để hạn chế quyền truy cập vào dữ liệu nhạy cảm và cho phép quản trị viên sử dụng các công cụ quản lý secret bên ngoài (như Vault hoặc Cloud Key Management Systems).

Hướng dẫn cách tạo và sử dụng Secrets

Tạo Secret: Kubernetes Secrets có thể được tạo theo nhiều cách, chẳng hạn như sử dụng các giá trị bằng chữ hoặc từ các tệp. Dưới đây là ví dụ về việc tạo Secret từ các giá trị bằng chữ:

   kubectl create secret generic my-secret --from-literal=username=admin --from-literal=password=mysecretpassword

Bạn cũng có thể tạo Secret từ một tệp:

   kubectl create secret generic my-secret --from-file=ssh-key=./ssh/id_rsa

Tham chiếu Secrets trong Pod: Secrets có thể được đưa vào Pods dưới dạng biến môi trường hoặc volume. Chúng cũng có thể được tham chiếu bởi các tài nguyên khác như Services hoặc Deployments.

Ví dụ về việc sử dụng Secret làm biến môi trường :

   apiVersion: v1
   kind: Pod
   metadata:
     name: my-app
   spec:
     containers:
     - name: my-app-container
       image: my-app-image
       env:
       - name: DB_USERNAME
         valueFrom:
           secretKeyRef:
             name: my-secret
             key: username
       - name: DB_PASSWORD
         valueFrom:
           secretKeyRef:
             name: my-secret
             key: password

Trong ví dụ này, các biến môi trường DB_USERNAME và DB_PASSWORD được điền với các giá trị từ my-secret Secret.

Quản lý Secrets bằng Mã hóa: Mặc dù Secrets được lưu trữ ở dạng được mã hóa Base64, Kubernetes cung cấp tùy chọn mã hóa Secrets khi lưu trữ để tăng cường bảo mật. Để bật mã hóa, bạn cần định cấu hình nhà cung cấp mã hóa trong cấu hình cụm Kubernetes (ví dụ: kube-apiserver).

Ví dụ về việc bật mã hóa khi lưu trữ:

   apiVersion: admissionregistration.k8s.io/v1
   kind: AdmissionControl
   apiVersion: admissionregistration.k8s.io/v1

Kiểm soát Truy cập cho Secrets: Kubernetes hỗ trợ Kiểm soát Truy cập Dựa trên Vai trò (RBAC), cho phép bạn hạn chế quyền truy cập vào Secrets dựa trên vai trò của người dùng. Đảm bảo rằng chỉ những người dùng hoặc tài khoản dịch vụ được ủy quyền mới có quyền truy cập vào dữ liệu nhạy cảm.

Các Best practice khi sử dụng ConfigMaps và Secrets trong Kubernetes

  • Sử dụng Secrets cho dữ liệu nhạy cảm: Luôn sử dụng Secrets để lưu trữ dữ liệu nhạy cảm như mật khẩu, mã thông báo và khóa riêng tư. Không bao giờ lưu trữ dữ liệu nhạy cảm trong ConfigMaps.
  • Mã hóa Secrets khi lưu trữ: Nếu có thể, hãy bật mã hóa cho Kubernetes Secrets để cung cấp thêm một lớp bảo mật cho thông tin nhạy cảm.
  • RBAC cho kiểm soát truy cập: Đảm bảo rằng quyền truy cập vào ConfigMaps và Secrets được kiểm soát đúng cách bằng RBAC. Giới hạn quyền truy cập chỉ cho Pods và người dùng yêu cầu.
  • Sử dụng biến môi trường cho cấu hình đơn giản: Nếu cài đặt cấu hình của bạn đơn giản và không nhạy cảm (ví dụ: URL cơ sở dữ liệu hoặc điểm cuối API), hãy cân nhắc sử dụng ConfigMaps làm biến môi trường.
  • Tránh mã cứng cấu hình: Không bao giờ mã cứng các giá trị cấu hình hoặc secret trực tiếp trong mã ứng dụng. Thay vào đó, hãy đưa chúng ra bên ngoài thành ConfigMaps hoặc Secrets.
  • Cân nhắc sử dụng các công cụ quản lý Secret bên ngoài: Để bảo mật tốt hơn nữa, hãy cân nhắc sử dụng các hệ thống quản lý secret bên ngoài như HashiCorp Vault, AWS Secrets Manager hoặc Azure Key Vault để quản lý an toàn các secret của bạn bên ngoài Kubernetes.
  • Phiên bản ConfigMaps và Secrets: Sử dụng kubectl apply của Kubernetes để cập nhật tài nguyên và cân nhắc sử dụng kiểm soát phiên bản (Git) để theo dõi các thay đổi đối với ConfigMaps và Secrets. Điều này đảm bảo khả năng truy xuất nguồn gốc và dễ dàng khôi phục trong trường hợp xảy ra sự cố.

Kết luận

Trong Kubernetes, ConfigMaps và Secrets rất quan trọng để quản lý cấu hình và dữ liệu nhạy cảm tương ứng. ConfigMaps lý tưởng để lưu trữ cấu hình không nhạy cảm như biến môi trường, trong khi Secrets nên được sử dụng để quản lý dữ liệu nhạy cảm một cách an toàn. Bằng cách tách cấu hình khỏi mã ứng dụng và tuân theo các phương pháp tốt nhất để bảo mật dữ liệu nhạy cảm, bạn có thể cải thiện đáng kể khả năng bảo trì và bảo mật của các ứng dụng chạy trên Kubernetes.

Kubernetes

All rights reserved

Mục lục


Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí