红帽全球峰会第 11 章 Red Hat OpenShift 的外部 Secret Operator
11.1. Red Hat OpenShift 的外部 Secret Operator 概述
Red Hat OpenShift 的 External Secrets Operator 作为集群范围的服务运行,以部署和管理 external-secrets 应用程序。external-secrets 应用程序与外部 secret 管理系统集成,并执行集群中的 secret 获取、刷新和置备。
Red Hat OpenShift 的 External Secrets Operator 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
11.1.1. 关于 Red Hat OpenShift 的 External Secrets Operator
使用 Red Hat OpenShift 的 External Secrets Operator 将 external-secrets 应用程序与 OpenShift Container Platform 集群集成。external-secrets 应用程序获取存储在外部供应商中的 secret,如 AWS Secrets Manager,HashiCorp Vault,Google Secret Manager,Azure Key Vault,IBM Cloud Secrets Manager,AWS Systems Manager Parameter Store,并以安全的方式将其与 Kubernetes 集成。
使用 External Secrets Operator 确保以下内容:
- 将应用程序与 secret-lifecycle 管理分离。
- 中央化机密存储以支持合规性要求。
- 启用安全和自动化 secret 轮转。
- 支持具有细粒度访问控制的多云机密源。
- 集中和审核访问控制。
不要试图在集群中使用多个外部 Secret Operator。如果在集群中安装了社区外部 Secret Operator,则必须在为 Red Hat OpenShift 安装外部 Secrets Operator 前卸载它。
有关 external-secrets 应用程序的更多信息,请参阅 external-secrets。
使用 External Secrets Operator 与外部 secret 存储进行身份验证,检索 secret,并将检索到的 secret 注入原生 Kubernetes secret。此方法不再需要应用直接访问或管理外部 secret。
Red Hat OpenShift 的 External Secrets Operator 使用以下外部 secret 供应商类型进行测试:
红帽没有测试与第三方 secret 存储供应商功能关联的所有因素。有关第三方支持的更多信息,请参阅红帽第三方支持政策。
11.1.3. 测试外部 secret 供应商类型
下表显示了每个经过测试的外部 secret 供应商类型的测试覆盖。
| Secret Provider | 测试状态 | 注 |
|---|---|---|
| AWS Secrets Manager | 部分测试 | 确保基本功能。 |
| AWS Systems Manager Parameter Store | 部分测试 | 确保基本功能。 |
| HashiCorp Vault | 部分测试 | |
| Google Secrets Manager | 部分测试 |
Red Hat OpenShift 的 External Secrets Operator 支持 FIPS 合规性。当在 FIPS 模式下的 OpenShift Container Platform 上运行时,External Secrets Operator 使用提交到 NIST 的 RHEL 加密库,用于 x86_64、ppc64le 和 s390X 架构上的 FIPS 验证。有关 NIST 验证程序的更多信息,请参阅 Cryptographic 模块验证程序。有关用于验证的 RHEL 加密库的单个版本的最新 NIST 状态的更多信息,请参阅合规性活动和政府标准。
要启用 FIPS 模式,请在以 FIPS 模式运行的 OpenShift Container Platform 集群上安装 External Secrets Operator。如需更多信息,请参阅"您是否需要集群的额外安全性?"。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}