Documentazione di Oracle Cloud Infrastructure

Gestione dei segreti per i cluster Kubernetes

Scopri le opzioni per memorizzare i segreti per le applicazioni in esecuzione sui cluster Kubernetes creati utilizzando Kubernetes Engine (OKE).

Le applicazioni containerizzate eseguite nei cluster Kubernetes creati con Kubernetes Engine in genere richiedono la memorizzazione e l'accesso sicuro ai segreti (come token di autenticazione, certificati e credenziali) (come i token di autenticazione).

Quando crei i cluster Kubernetes utilizzando Kubernetes Engine, puoi scegliere di memorizzare i segreti dell'applicazione in due modi:

  • Come segreti memorizzati e gestiti in un'area di memorizzazione dei segreti esterna, a cui si accede utilizzando il driver CSI dell'area di memorizzazione dei segreti Kubernetes (secrets-store.csi.k8s.io). Il driver CSI Secrets Store integra le aree di memorizzazione dei segreti con i cluster Kubernetes come volumi CSI (Container Storage Interface). Il driver CSI dell'area di memorizzazione dei segreti consente ai cluster Kubernetes di eseguire il MOUNT di più segreti, chiavi e certificati memorizzati nelle aree di memorizzazione dei segreti esterni nei pod come volume. Una volta collegato il volume, i dati nel volume vengono installati nel file system del contenitore dell'applicazione. OCI Vault è una di queste aree di memorizzazione segreti esterni e Oracle fornisce il provider del driver CSI dell'area di memorizzazione segreti OCI open source per consentire ai cluster Kubernetes di accedere ai segreti in Vault. Per informazioni, consulta la documentazione del provider del driver CSI dell'area di memorizzazione segreti OCI su GitHub.
  • Come oggetti segreti Kubernetes memorizzati e gestiti in etcd. Etcd è un'area di memorizzazione key-value distribuita open source utilizzata da Kubernetes per il coordinamento dei cluster e la gestione dello stato. Nei cluster Kubernetes creati da Kubernetes Engine e così via, etcd scrive e legge i dati da e verso i volumi di storage a blocchi nel servizio Oracle Cloud Infrastructure Block Volume. Per impostazione predefinita, Oracle cifra i dati nei volumi a blocchi in archivio, inclusi i segreti etcd e Kubernetes. Oracle gestisce questa cifratura predefinita utilizzando una chiave di cifratura master, senza richiedere alcuna azione da parte tua. Per informazioni sulla gestione autonoma della chiave di cifratura principale, invece di farla gestire da Oracle, vedere Cifratura dei segreti Kubernetes in archivio in Etcd.