argocd 敏感信息保护之SealedSecret

封面

简介：为什么需要SealedSecret？

在gitops的理念中，我们的一切配置都是放在git仓库中的，这个其中就包含了我们的敏感信息例如用户名/密码/数据库连接/数据库访问秘密等，这些如果还是依赖于secret的base64加密的话就显得相形见绌了。
系列文章同步更新中：

argocd的secret管理之SealedSecret：在git里面加密敏感配置
argocd告警管理之notification服务：让你第一时间得到argocd app的状态信息
argocd蓝绿/金丝雀发布之rollout: 快速方便的启用基于gitops的蓝绿/金丝雀发布
gitops之argocd

一，安装SealedSecret:

SealedSecret官网

1， 安装

1.1 安装时需要注意，SealedSecret也是一个operator。他的作用就是将你用SealedSecret加密的变量解密成k8s的secret，所以在k8s界面你还是能看到原来的sealedsecret,另外k8s 也是不支持这种非默认资源的显示的，但是使用argocd能帮我们看到：

argocd能清晰的看出sealedsecret资源

1.2 通过kubectl直接安装

##这个安装默认会安装到你的kube-system 里面去  基本一个pod就够了
$ kubectl apply -f https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.12.4/controller.yaml

Once you deploy the manifest it will create the SealedSecret resource and install the controller into kube-system namespace, create a service account and necessary RBAC roles.
After a few moments, the controller will start, generate a key pair, and be ready for operation. If it does not, check the controller logs.

二，如何使用SealedSecret:

2.1 如何获取到你的SealedSecret加密公钥？

部署完SealedSecret后的pod

入上图所示，找到sealed-secrets-controller pod，日志里面会输出当前管理的公钥，现在的最新版本中会一个月更新一次公钥，理论上来讲之前用公钥加密的敏感配置不受影响。一个月以后需要加密的配置请查看日志产生的最新公钥。

2.2 首先安装客户端并且生成相应的加密yaml

#1. 在一台linux机器上执行以下几步：
>wget https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.10.0/kubeseal-linux-amd64 -O kubeseal    
>sudo install -m 755 kubeseal /usr/local/bin/kubeseal

#2. 准备一个base64加完秘的secret.yaml文件
    apiVersion: v1
    kind: Secret
    metadata:
      name:   #直接写死
      namespace:  #直接写死，它会根据你的namespace 来生成加密，意思在别的ns下是不能解密成功的
    type: Opaque
    data:
      mysql_usename: dXNlbmFtZQo=   #value 已经base64加完秘
      mysql_password: cGFzc3dvcmQK
#3. 通过如下命令立马生成加密文件
 kubeseal --format=yaml --cert=public-cert.pem < ${你的原始secret.yaml文件} >  ${生成后的sealedsecret文件名字}   #注意尖括号<>不能去掉

2.3 通过argocd 部署你的SealedSecred

apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
  creationTimestamp: null
  labels:
    app.kubernetes.io/instance: cost-service
  name: demo-secret
  namespace: argocd-demo
spec:
  encryptedData:
    password: >-   AgATaSIAkO5e5WN9dTt1WAm6zbHa2s92GoLktDebNselXHPBiWYZi05rFJMN5RUvYHQKcQoRSakzkhd**** 
  template:
    metadata:
      creationTimestamp: null
      name: demo-secret
      namespace: argocd-demo
    type: Opaque
###SealedSecret 清单文件就像上面这个样子，我们可以通过kubectl或者argocd将其部署到k8s