בדף הזה מוסבר בקצרה מהם סודות ב-Kubernetes ואיך Cloud Code עוזר להפעיל את Secret Manager API כדי ליצור אותם, להשתמש בהם ולאחסן אותם.
מבוא לסודות (secrets) ב-Kubernetes
כשיוצרים אפליקציות Kubernetes, לעיתים קרובות צריך להעביר כמויות קטנות של נתונים רגישים כמו סיסמאות, מפתחות SSH או טוקנים של OAuth. במקום לאחסן את המידע הזה במפרט של פוד או בקובץ אימג' של קונטיינר, אפשר ליצור סודות של Kubernetes כדי לאחסן את המידע האישי הרגיש.
כברירת מחדל, סודות של Kubernetes מאוחסנים ללא הצפנה במאגר הנתונים הבסיסי של שרת ה-API. כל מי שיש לו גישת API יכול לאחזר או לשנות סוד. במסמכי התיעוד של Kubernetes Secrets מומלץ לבצע לפחות את הפעולות הבאות כדי להשתמש ב-Kubernetes Secrets בצורה בטוחה:
- הפעלת הצפנה במנוחה עבור סודות.
- הפעלה או הגדרה של כללי RBAC עם גישה להרשאות מינימליות לסודות.
- הגבלת הגישה לסודות למאגרי תגים ספציפיים.
- שימוש בספקי חנויות סודות חיצוניים
Secret Manager ב-Cloud Code
בעזרת Cloud Code אפשר להשתמש ב-Secret Manager API כדי ליצור סודות, לנהל להם גרסאות ולאחסן אותם עם הצפנה במנוחה מתוך סביבת פיתוח משולבת. אפשר להשתמש ב-Secret Manager באופן בלעדי ב-Cloud Code, או בנוסף לכלים אחרים שבהם אתם כבר משתמשים לניהול סודות.
הפעולות שזמינות בסביבת הפיתוח המשולבת (IDE) באמצעות Cloud Code כוללות:
- מפעילים את Secret Manager API.
- יוצרים סודות של Kubernetes באמצעות התצוגה של Secret Manager או תצוגת העריכה.
- גרסה, הצגה ומחיקה של סודות.
- גישה לסודות מהאפליקציה.
עבודה עם סודות של Kubernetes ב-Cloud Code
הוראות מפורטות ליצירה, לניהול גרסאות, לשימוש ולמחיקה של סודות ב-Cloud Code זמינות במאמר ניהול סודות.
המאמרים הבאים
- מידע נוסף על סודות ב-Kubernetes זמין במסמכי Kubernetes.
- מומלץ לעיין בשיטות מומלצות לשימוש בסודות ב-Kubernetes.
- מומלץ להשתמש באסימון של חשבון שירות או בחלופות אחרות לסודות.