Documentación de Oracle Cloud Infrastructure

Gestión de secretos para clusters de Kubernetes

Descubra las opciones para almacenar secretos para aplicaciones que se ejecutan en los clusters de Kubernetes que ha creado con Kubernetes Engine (OKE).

Las aplicaciones en contenedores que se ejecutan en los clusters de Kubernetes que crea con Kubernetes Engine suelen necesitar secretos (como tokens de autenticación, certificados y credenciales) para almacenarse y acceder de forma segura.

Al crear clusters de Kubernetes con Kubernetes Engine, puede elegir almacenar secretos de aplicación de dos formas:

  • Como secretos almacenados y gestionados en un almacén de secretos externo, se accede mediante el controlador CSI del almacén de secretos de Kubernetes (secrets-store.csi.k8s.io). El controlador CSI del almacén de secretos integra almacenes de secretos con clusters de Kubernetes como volúmenes de interfaz de almacenamiento de contenedor (CSI). El controlador CSI del almacén de secretos permite a los clusters de Kubernetes montar varios secretos, claves y certificados almacenados en almacenes de secretos externos en pods como volumen. Una vez que se asocia el volumen, los datos del volumen se montan en el sistema de archivos del contenedor de aplicaciones. OCI Vault es uno de esos almacenes de secretos externos, y Oracle proporciona el proveedor del controlador CSI del almacén de secretos de OCI de código abierto para permitir que los clusters de Kubernetes accedan a los secretos en Vault. Para obtener información, consulte la documentación del proveedor de controladores CSI del almacén de secretos de OCI en GitHub.
  • Como objetos secretos de Kubernetes almacenados y gestionados en etcd. Etcd es un almacén de clave-valor distribuido con código abierto que Kubernetes utiliza para la coordinación de clusters y la gestión de estado. En los clusters de Kubernetes creados por Kubernetes Engine, etcd escribe y lee datos hacia y desde volúmenes de almacenamiento en bloque del servicio de Oracle Cloud Infrastructure Block Volume. Por defecto, Oracle cifra los datos en volúmenes en bloque estáticos, incluidos los secretos etcd y Kubernetes. Oracle gestiona este cifrado por defecto mediante una clave de cifrado maestra, sin que sea necesario realizar ninguna acción por su parte. Para obtener información sobre la gestión de la clave de cifrado maestra usted mismo, en lugar de que Oracle la gestione por usted, consulte Cifrado de secretos estáticos de Kubernetes en Etcd.