Documentação do Oracle Cloud Infrastructure

Gerenciando Segredos para Clusters do Kubernetes

Saiba mais sobre as opções de armazenamento de segredos para aplicativos em execução nos clusters do Kubernetes que você criou usando o Kubernetes Engine (OKE).

Os aplicativos em contêineres executados nos clusters do Kubernetes que você cria com o Kubernetes Engine geralmente exigem que segredos (como tokens de autenticação, certificados e credenciais) sejam armazenados e acessados com segurança.

Ao criar clusters do Kubernetes usando o Kubernetes Engine, você pode optar por armazenar segredos do aplicativo de duas maneiras:

  • Como segredos armazenados e gerenciados em um armazenamento de segredos externo, acessado usando o driver CSI do Armazenamento de Segredos do Kubernetes (secrets-store.csi.k8s.io). O driver CSI de Armazenamento de Segredos integra armazenamentos de segredos com clusters do Kubernetes como volumes da Interface de Armazenamento de Contêiner (CSI). O driver CSI do Armazenamento de Segredos permite que os clusters do Kubernetes montem vários segredos, chaves e certificados armazenados em armazenamentos de segredos externos em pods como um volume. Depois que o volume é anexado, os dados no volume são montados no sistema de arquivos do contêiner de aplicativos. O OCI Vault é um desses armazenamentos de segredos externos, e a Oracle fornece o Provedor do Driver OCI Secrets Store CSI de código-fonte aberto para permitir que os clusters do Kubernetes acessem segredos no Vault. Para obter informações, consulte a documentação do Provedor de Driver CSI da Loja de Segredos do OCI em GitHub.
  • Como objetos secretos do Kubernetes armazenados e gerenciados no etcd. O Etcd é um armazenamento de chave/valor distribuído de código-fonte aberto que o Kubernetes utiliza para coordenação de cluster e gerenciamento de estado. Nos clusters do Kubernetes criados pelo Kubernetes Engine, o etcd grava e lê dados de e para volumes do armazenamento em bloco no serviço Oracle Cloud Infrastructure Block Volume. Por padrão, a Oracle criptografa dados em volumes em blocos em repouso, incluindo segredos de etcd e Kubernetes. A Oracle gerencia essa criptografia padrão usando uma chave de criptografia mestra, sem exigir nenhuma ação da sua parte. Para obter informações sobre como gerenciar a chave de criptografia mestra por conta própria, em vez de fazer com que a Oracle a gerencie para você, consulte Criptografando Segredos do Kubernetes em Repouso no Etcd.