שימוש בתוסף Secret Manager עם Google Kubernetes Engine

השילוב בין Secret Manager לבין Google Kubernetes Engine‏ (GKE) מאפשר לכם לאחסן נתונים רגישים כמו סיסמאות ואישורים שמשמשים אשכולות GKE כסודות ב-Secret Manager.

בדף הזה מוסבר איך אפשר להשתמש בתוסף Secret Manager כדי לגשת לסודות שמאוחסנים ב-Secret Manager כנפחים שמוצמדים ל-Pods של Kubernetes.

התהליך הזה כולל את השלבים הבאים:

1. מפעילים את התוסף Secret Manager באשכול GKE חדש או קיים.
2. הגדרת אפליקציות לאימות ב-Secret Manager API.
3. מגדירים אילו סודות לטעון לקבוצות Pod ב-Kubernetes באמצעות קובץ SecretProviderClass YAML. תוסף Secret Manager תומך בסודות גלובליים ואזוריים.
4. יוצרים נפח אחסון שבו יותקנו הסודות. אחרי שמצרפים את אמצעי האחסון, אפליקציות במאגר יכולות לגשת לנתונים במערכת הקבצים של המאגר.

התוסף Secret Manager מבוסס על Kubernetes Secrets Store CSI Driver בקוד פתוח ועל Google Secret Manager provider. אם אתם משתמשים ב-Secrets Store CSI Driver בקוד פתוח כדי לגשת לסודות, אתם יכולים לעבור לתוסף Secret Manager. מידע נוסף זמין במאמר בנושא העברה מ-Secrets Store CSI Driver הקיים.

יתרונות

התוסף Secret Manager מספק את היתרונות הבאים:

• אתם יכולים להשתמש בפתרון מנוהל ונתמך באופן מלא כדי לגשת לסודות של Secret Manager מתוך GKE בלי תקורה תפעולית.
• לא צריך לכתוב קוד בהתאמה אישית כדי לגשת לסודות שמאוחסנים ב-Secret Manager.
• אתם יכולים לאחסן ולנהל את כל הסודות שלכם באופן מרכזי ב-Secret Manager ולגשת לסודות באופן סלקטיבי מ-pods של GKE באמצעות התוסף Secret Manager. כך תוכלו להשתמש בתכונות שמציע Secret Manager, כמו הצפנת CMEK, בקרת גישה פרטנית, רוטציה מנוהלת, ניהול מחזור חיים ויומני ביקורת, וגם בתכונות של Kubernetes, כמו העברת סודות למאגרי מידע בצורה של אמצעי אחסון מוצמדים.
• התוסף Secret Manager נתמך באשכולות רגילים ובאשכולות Autopilot.
• התוסף Secret Manager תומך בצמתים שמשתמשים בקובצי אימג' של צמתים של מערכת הפעלה שמותאמת לקונטיינרים או של Ubuntu.

מגבלות

התוסף Secret Manager כולל את המגבלות הבאות:

• התוסף Secret Manager לא תומך בתכונה Sync as Kubernetes Secret (סנכרון כסוד של Kubernetes), שזמינה ב-Secrets Store CSI Driver בקוד פתוח. אם רוצים לסנכרן סודות שמאוחסנים ב-Secret Manager עם סודות של Kubernetes, אפשר להשתמש בתכונת סנכרון הסודות המשולבת של Secret Manager. מידע נוסף זמין במאמר בנושא סנכרון סודות עם סודות של Kubernetes.

• התוסף Secret Manager לא תומך בצמתים של Windows Server.

לפני שמתחילים

• מפעילים את ממשקי ה-API של Secret Manager ו-Google Kubernetes Engine.

  תפקידים שנדרשים להפעלת ממשקי API

  כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

  הפעלת ממשקי ה-API

• אם רוצים להשתמש ב-Google Cloud CLI למשימה הזו, צריך להתקין ואז לאתחל את ה-CLI של gcloud. אם התקנתם בעבר את ה-CLI של gcloud, מריצים את הפקודה gcloud components update כדי לקבל את הגרסה העדכנית.

  אי אפשר להגדיר את התוסף Secret Manager באופן ידני באמצעות Google Cloud SDK או מסוף Google Cloud .

• מוודאים שהאשכול פועל ב-GKE בגרסה 1.27.14-gke.1042001 ואילך עם תמונת צומת של Linux.

• אם אתם משתמשים באשכול GKE Standard, אתם צריכים לוודא שמופעל באשכול שלכם איחוד שירותי אימות הזהות של עומסי עבודה ב-GKE. איחוד זהויות של עומסי עבודה ל-GKE מופעל כברירת מחדל באשכול Autopilot. קבוצות Pod ב-Kubernetes משתמשות באיחוד זהויות של עומסי עבודה ל-GKE כדי לבצע אימות ל-Secret Manager API.

הפעלת התוסף Secret Manager

אפשר להפעיל את התוסף Secret Manager גם באשכולות רגילים וגם באשכולות של Autopilot.

הפעלת התוסף Secret Manager באשכול GKE חדש

כדי להפעיל את התוסף Secret Manager כשיוצרים את האשכול:

gcloud container clusters create CLUSTER_NAME \
    --enable-secret-manager \
    --location=LOCATION \
    --cluster-version=VERSION \
    --workload-pool=PROJECT_ID.svc.id.goog

gcloud container clusters create CLUSTER_NAME `
    --enable-secret-manager `
    --location=LOCATION `
    --cluster-version=VERSION `
    --workload-pool=PROJECT_ID.svc.id.goog

gcloud container clusters create CLUSTER_NAME ^
    --enable-secret-manager ^
    --location=LOCATION ^
    --cluster-version=VERSION ^
    --workload-pool=PROJECT_ID.svc.id.goog

gcloud container clusters create-auto CLUSTER_NAME \
    --enable-secret-manager \
    --cluster-version=VERSION \
    --location=LOCATION

gcloud container clusters create-auto CLUSTER_NAME `
    --enable-secret-manager `
    --cluster-version=VERSION `
    --location=LOCATION

gcloud container clusters create-auto CLUSTER_NAME ^
    --enable-secret-manager ^
    --cluster-version=VERSION ^
    --location=LOCATION

אחרי שמפעילים את התוסף Secret Manager, אפשר להשתמש במנהל ההתקן של CSI של Secrets Store בנפחי אחסון של Kubernetes באמצעות מנהל ההתקן ושם הספק: secrets-store-gke.csi.k8s.io.

הפעלת התוסף Secret Manager באשכול GKE קיים

כדי להפעיל את התוסף Secret Manager באשכול קיים:

gcloud container clusters update CLUSTER_NAME \
    --enable-secret-manager \
    --location=LOCATION \

gcloud container clusters update CLUSTER_NAME `
    --enable-secret-manager `
    --location=LOCATION `

gcloud container clusters update CLUSTER_NAME ^
    --enable-secret-manager ^
    --location=LOCATION ^

אימות ההתקנה של תוסף Secret Manager

כדי לוודא שהתוסף Secret Manager מותקן באשכול Kubernetes, מריצים את הפקודה הבאה:

  gcloud container clusters describe CLUSTER_NAME --location LOCATION | grep secretManagerConfig -A 4

מחליפים את מה שכתוב בשדות הבאים:

• ‫CLUSTER_NAME: שם האשכול
• ‫LOCATION: המיקום של האשכול, למשל us-central1

הגדרת רוטציה אוטומטית של סודות

אתם יכולים להגדיר את התוסף Secret Manager כך שיבצע רוטציה אוטומטית של סודות, כדי שסודות שמתעדכנים ב-Secret Manager אחרי הפריסה הראשונית של ה-pod יידחפו באופן אוטומטי ומדי פעם אל ה-pod. החלפה אוטומטית של סודות מוצפנים שמוצמדים למכונה מאפשרת לאפליקציות לקבל באופן אוטומטי סודות מוצפנים מעודכנים, בלי שיהיה צורך להפעיל מחדש את המכונה או להתערב באופן ידני. התכונה הזו מבטיחה שהאפליקציות תמיד ישתמשו בסודות הכי עדכניים.

הערות לגבי הגדרת רוטציה אוטומטית של סודות:

• החלפה אוטומטית של סודות היא הגדרה אופציונלית.
• אפשר להגדיר את התכונה הזו כשיוצרים אשכול חדש או כשמעדכנים אשכול קיים.
• אפשר להגדיר את התדירות של הסיבוב האוטומטי על ידי ציון של מרווח הסיבוב ויחידת מרווח הסיבוב.
• סיבוב אוטומטי של סודות נתמך ב-GKE בגרסה 1.32.2-gke.1059000 ואילך.

כדי להגדיר החלפה אוטומטית של סודות, צריך להפעיל את התכונה enable-secret-manager-rotation ולהגדיר את מרווח ההחלפה באמצעות ההגדרה secret-manager-rotation-interval.

הגדרה של רוטציה אוטומטית של סודות באשכול GKE חדש

כדי להגדיר סיבוב אוטומטי של סודות כשיוצרים אשכול:

gcloud container clusters create CLUSTER_NAME \
    --cluster-version=VERSION \
    --location=LOCATION \
    --enable-secret-manager \
    --enable-secret-manager-rotation \
    --secret-manager-rotation-interval=ROTATION_INTERVAL
    

gcloud container clusters create CLUSTER_NAME `
    --cluster-version=VERSION `
    --location=LOCATION `
    --enable-secret-manager `
    --enable-secret-manager-rotation `
    --secret-manager-rotation-interval=ROTATION_INTERVAL
    

gcloud container clusters create CLUSTER_NAME ^
    --cluster-version=VERSION ^
    --location=LOCATION ^
    --enable-secret-manager ^
    --enable-secret-manager-rotation ^
    --secret-manager-rotation-interval=ROTATION_INTERVAL
    

gcloud container clusters create CLUSTER_NAME \
    --location=LOCATION \
    --cluster-version=VERSION \
    --workload-pool=PROJECT_ID.svc.id.goog \
    --enable-secret-manager \
    --enable-secret-manager-rotation \
    --secret-manager-rotation-interval=ROTATION_INTERVAL
    

gcloud container clusters create CLUSTER_NAME `
    --location=LOCATION `
    --cluster-version=VERSION `
    --workload-pool=PROJECT_ID.svc.id.goog `
    --enable-secret-manager `
    --enable-secret-manager-rotation `
    --secret-manager-rotation-interval=ROTATION_INTERVAL
    

gcloud container clusters create CLUSTER_NAME ^
    --location=LOCATION ^
    --cluster-version=VERSION ^
    --workload-pool=PROJECT_ID.svc.id.goog ^
    --enable-secret-manager ^
    --enable-secret-manager-rotation ^
    --secret-manager-rotation-interval=ROTATION_INTERVAL
    

הגדרת רוטציה אוטומטית של סודות באשכול GKE קיים

כדי להגדיר סיבוב אוטומטי של סודות באשכול GKE קיים:

gcloud container clusters update CLUSTER_NAME \
    --enable-secret-manager \
    --location=LOCATION \
    --enable-secret-manager-rotation \
    --secret-manager-rotation-interval=ROTATION_INTERVAL

gcloud container clusters update CLUSTER_NAME `
    --enable-secret-manager `
    --location=LOCATION `
    --enable-secret-manager-rotation `
    --secret-manager-rotation-interval=ROTATION_INTERVAL

gcloud container clusters update CLUSTER_NAME ^
    --enable-secret-manager ^
    --location=LOCATION ^
    --enable-secret-manager-rotation ^
    --secret-manager-rotation-interval=ROTATION_INTERVAL

הגדרת אפליקציות לאימות ב-Secret Manager API

ספק Google Secret Manager משתמש בזהות עומס העבודה של ה-Pod שסוד מוצמד אליו כשמתבצע אימות ל-Secret Manager API. כדי לאפשר לאפליקציות שלכם לבצע אימות ל-Secret Manager API באמצעות איחוד זהויות של עומסי עבודה ל-GKE, אתם צריכים:

• יוצרים Kubernetes ServiceAccount חדש או משתמשים ב-Kubernetes ServiceAccount קיים באותו מרחב שמות כמו ה-Pod שרוצים לצרף אליו את הסוד.

• יוצרים מדיניות הרשאות בניהול הזהויות והרשאות הגישה (IAM) עבור הסוד ב-Secret Manager.

קבוצות Pod שמשתמשות ב-Kubernetes ServiceAccount שהוגדר מבצעות אימות אוטומטי בתור מזהה החשבון הראשי של IAM שתואם ל-Kubernetes ServiceAccount, כשניגשים אל Secret Manager API.

יצירת חשבון שירות חדש ב-Kubernetes

1. שומרים את קובץ המניפסט הבא בשם service-account.yaml:

   apiVersion: v1
   kind: ServiceAccount
   metadata:
     name: KSA_NAME
     namespace: NAMESPACE
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫KSA_NAME: השם של חשבון השירות החדש ב-Kubernetes
   • ‫NAMESPACE: השם של מרחב השמות ב-Kubernetes עבור ServiceAccount

2. החלת המניפסט:

   kubectl apply -f service-account.yaml
   

3. יוצרים מדיניות הרשאה ב-IAM שמפנה אל חשבון השירות החדש של Kubernetes ומעניקים לו הרשאה לגשת לסוד:

   gcloud secrets add-iam-policy-binding SECRET_NAME \
       --role=roles/secretmanager.secretAccessor \
       --member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫SECRET_NAME: השם של הסוד ב-Secret Manager
   • ‫PROJECT_NUMBER: מספר הפרויקט Google Cloud
   • ‫PROJECT_ID: מזהה הפרויקט של Google Cloud הפרויקט שמכיל את אשכול GKE
   • ‫NAMESPACE: השם של מרחב השמות ב-Kubernetes עבור ServiceAccount
   • ‫KSA_NAME: השם של חשבון השירות הקיים ב-Kubernetes

שימוש בחשבון שירות קיים ב-Kubernetes

יוצרים מדיניות הרשאה ב-IAM שמפנה אל Kubernetes ServiceAccount הקיים ומעניקים לו הרשאה לגשת לסוד:

gcloud secrets add-iam-policy-binding SECRET_NAME \
    --role=roles/secretmanager.secretAccessor \
    --member=principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/PROJECT_ID.svc.id.goog/subject/ns/NAMESPACE/sa/KSA_NAME

מחליפים את מה שכתוב בשדות הבאים:

• ‫SECRET_NAME: השם של הסוד ב-Secret Manager
• ‫PROJECT_NUMBER: מספר הפרויקט Google Cloud
• ‫PROJECT_ID: מזהה הפרויקט של Google Cloud הפרויקט שמכיל את אשכול GKE
• ‫NAMESPACE: השם של מרחב השמות ב-Kubernetes עבור ServiceAccount
• ‫KSA_NAME: השם של חשבון השירות הקיים ב-Kubernetes

הגדרת הסודות להעברה

כדי לציין אילו סודות להוסיף כקבצים ל-Pod של Kubernetes, יוצרים מניפסט SecretProviderClassYAML ומפרטים את הסודות שרוצים להוסיף ואת שם הקובץ שרוצים להוסיף אותם אליו. איך לעשות את זה?

1. שומרים את קובץ המניפסט הבא בשם app-secrets.yaml:

   apiVersion: secrets-store.csi.x-k8s.io/v1
   kind: SecretProviderClass
   metadata:
     name: SECRET_PROVIDER_CLASS_NAME
   spec:
     provider: gke
     parameters:
       secrets: |
         - resourceName: "projects/PROJECT_ID/secrets/SECRET_NAME/versions/SECRET_VERSION"
           path: "FILENAME.txt"
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫SECRET_PROVIDER_CLASS_NAME: השם של אובייקט SecretProviderClass.
   • PROJECT_ID: מזהה הפרויקט.
   • ‫SECRET_NAME: שם הסוד.
   • ‫SECRET_VERSION: גרסת הסוד. גרסת הסוד צריכה להיות באותו אזור כמו האשכול.
   • ‫FILENAME.txt: שם הקובץ שבו יותקן ערך הסוד. אפשר ליצור כמה קבצים באמצעות המשתנים resourceName ו-path.

   בסוד אזורי, resourceName הוא הנתיב המלא למשאב הסוד שכולל את המיקום של הסוד האזורי. לדוגמה, ‎"projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_NAME/versions/SECRET_VERSION"‎

2. החלת המניפסט:

   kubectl apply -f app-secrets.yaml -n NAMESPACE
   

   מחליפים את NAMESPACE בשם של מרחב השמות של Kubernetes עבור ServiceAccount.

3. מוודאים שאובייקט SecretProviderClass נוצר:

   kubectl get SecretProviderClasses -n NAMESPACE
   

הגדרת נפח אחסון שבו הסודות יותקנו

1. שומרים את ההגדרה הבאה בתור my-pod.yaml:

   apiVersion: v1
   kind: Pod
   metadata:
     name: POD_NAME
     namespace: NAMESPACE
   spec:
     serviceAccountName: KSA_NAME
     containers:
     - image: IMAGE_NAME
       imagePullPolicy: IfNotPresent
       name: POD_NAME
       resources:
         requests:
           cpu: 100m
       stdin: true
       stdinOnce: true
       terminationMessagePath: /dev/termination-log
       terminationMessagePolicy: File
       tty: true
       volumeMounts:
         - mountPath: "/var/secrets"
           name: mysecret
     volumes:
     - name: mysecret
       csi:
         driver: secrets-store-gke.csi.k8s.io
         readOnly: true
         volumeAttributes:
           secretProviderClass: SECRET_PROVIDER_CLASS_NAME
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫POD_NAME: השם של ה-Pod ב-Kubernetes שבו הסוד מותקן
   • ‫NAMESPACE: השם של מרחב השמות ב-Kubernetes עבור ServiceAccount
   • ‫KSA_NAME: חשבון השירות של Kubernetes שהגדרתם בשלב הגדרת אפליקציות לאימות ל-Secret Manager API
   • ‫IMAGE_NAME: שם קובץ האימג' של הקונטיינר
   • ‫SECRET_PROVIDER_CLASS_NAME: השם של אובייקט SecretProviderClass

2. באשכולות Standard בלבד, מוסיפים את השורה הבאה לשדה template.spec כדי למקם את ה-Pods במאגרי צמתים שמשתמשים באיחוד זהויות של עומסי עבודה ל-GKE.

   באשכולות Autopilot, אפשר לדלג על השלב הזה כי כל צומת משתמש באיחוד זהויות של עומסי עבודה ל-GKE, ולכן האשכול דוחה את nodeSelector הזה.

   spec:
     nodeSelector:
       iam.gke.io/gke-metadata-server-enabled: "true"
   

3. מחילים את ההגדרה על האשכול.

   kubectl apply -f my-pod.yaml
   

בשלב הזה מתבצעת טעינה של נפח mysecret ב-/var/secrets באמצעות מנהל התקן ה-CSI ‏(secrets-store-gke.csi.k8s.io). הנפח הזה מפנה לאובייקט SecretProviderClass שפועל כספק.

מעבר מ-Secrets Store CSI Driver הקיים

אם אתם עוברים לתוסף Secret Manager מההתקנה הקיימת של Secrets Store CSI Driver, אתם צריכים לעדכן את מניפסט ה-Pod באופן הבא:

1. מעדכנים את השם של SecretProviderClass ואת provider כמו שמתואר במניפסט הבא:

   apiVersion: secrets-store.csi.x-k8s.io/v1
   kind: SecretProviderClass
   metadata:
     name: app-secrets-gke
   spec:
     provider: gke
     parameters:
       secrets: |
         - resourceName: "projects/<project_id>/secrets/<secret_name>/versions/<secret_version>"
           path: "good1.txt"
   

2. מעדכנים את driver ואת secretProviderClass עבור נפח האחסון של Kubernetes כמו שמתואר במניפסט הבא:

   volumes:
     - name: mysecret
       csi:
         driver: secrets-store-gke.csi.k8s.io
         readOnly: true
         volumeAttributes:
           secretProviderClass: "app-secrets-gke"
   

השבתת התוסף Secret Manager

כדי להשבית את התוסף Secret Manager באשכול קיים מסוג Standard או באשכול במצב Autopilot, מריצים את הפקודה הבאה:

gcloud container clusters update CLUSTER_NAME \
    --no-enable-secret-manager \
    --region=REGION \

gcloud container clusters update CLUSTER_NAME `
    --no-enable-secret-manager `
    --region=REGION `

gcloud container clusters update CLUSTER_NAME ^
    --no-enable-secret-manager ^
    --region=REGION ^