Documentation Oracle Cloud Infrastructure

Gestion de clés secrètes pour les clusters Kubernetes

Découvrez les options de stockage des clés secrètes pour les applications exécutées sur les clusters Kubernetes que vous avez créés à l'aide de Kubernetes Engine (OKE).

Les applications en conteneur exécutées sur les clusters Kubernetes que vous créez avec Kubernetes Engine nécessitent généralement des clés secrètes (telles que des jetons d'authentification, des certificats et des informations d'identification) pour être stockées et accessibles en toute sécurité.

Lorsque vous créez des clusters Kubernetes à l'aide de Kubernetes Engine, vous pouvez choisir de stocker des clés secrètes d'application de deux manières :

  • En tant que clés secrètes stockées et gérées dans un magasin de clés secrètes externe, accessibles à l'aide du pilote CSI du magasin de clés secrètes Kubernetes (secrets-store.csi.k8s.io). Le pilote CSI de banque de clés secrètes intègre les banques de clés secrètes aux clusters Kubernetes en tant que volumes CSI (Container Storage Interface). Le pilote CSI de magasin de clés secrètes permet aux clusters Kubernetes de monter plusieurs clés secrètes, clés et certificats stockés dans des magasins de clés secrètes externes dans des pods en tant que volume. Une fois le volume attaché, les données du volume sont montées dans le système de fichiers du conteneur d'application. OCI Vault est l'une de ces banques de clés secrètes externes, et Oracle fournit le fournisseur de pilote CSI de la banque de clés secrètes OCI open source pour permettre aux clusters Kubernetes d'accéder aux clés secrètes dans Vault. Pour plus d'informations, reportez-vous à la documentation du fournisseur de pilotes CSI de banque de clés secrètes OCI sur GitHub.
  • En tant qu'objets secrets Kubernetes stockés et gérés dans etcd. etcd est une banque clé-valeur distribuée open source utilisée par Kubernetes pour la coordination des clusters et la gestion des états. Dans les clusters Kubernetes créés par Kubernetes Engine, etcd écrit et lit les données vers des volumes de stockage de blocs du service Oracle Cloud Infrastructure Block Volume ainsi qu'à partir de ceux-ci. Par défaut, Oracle crypte les données dans les volumes de blocs au repos, y compris les clés secrètes etcd et Kubernetes. Oracle gère ce cryptage par défaut à l'aide d'une clé de cryptage maître, sans aucune action de votre part. Pour plus d'informations sur la gestion de la clé de cryptage maître vous-même, plutôt que sur le fait qu'Oracle la gère pour vous, reportez-vous à Cryptage de clés secrètes Kubernetes inactives dans etcd.