Шифрование секретов в Yandex Managed Service for Kubernetes
Используйте ключ KMS для шифрования секретов — конфиденциальной информации, такой как пароли, OAuth-токены и SSH-ключи, в Yandex Managed Service for Kubernetes. Для этого при создании кластера укажите ключ KMS, который будет использоваться при шифровании и расшифровке.
Ключ шифрования необходимо указать при создании кластера Kubernetes, его нельзя добавить при изменении кластера.
Укажите ключ при создании кластера Kubernetes:
- В консоли управления выберите каталог, в котором будет создан кластер Kubernetes.
- В списке сервисов выберите Managed Service for Kubernetes.
- Нажмите кнопку Создать кластер.
- В поле Ключ шифрования укажите необходимый ключ или создайте новый.
- Закончите заполнение параметров создания кластера.
- Нажмите кнопку Создать кластер.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.
Указать ключ при создании кластера Kubernetes можно двумя способами.
-
Используя идентификатор ключа:
yc managed-kubernetes cluster create \ ... --kms-key-id <идентификатор ключа шифрования> \ ... -
Используя имя ключа:
yc managed-kubernetes cluster create \ ... --kms-key-name <имя ключа шифрования> \ ...
Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). Terraform и его провайдеры распространяются под лицензией Mozilla Public License.
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.
При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.
Если у вас еще нет Terraform, установите его и настройте провайдер.
Укажите ключ при создании кластера Kubernetes:
-
Добавьте блок
kms_providerв описание кластера:resource "yandex_kubernetes_cluster" "<имя кластера>" { ... kms_provider { key_id = "<идентификатор ключа шифрования>" } } -
Проверьте корректность конфигурационных файлов.
-
В командной строке перейдите в каталог, в котором создан конфигурационный файл.
-
Выполните проверку с помощью команды:
terraform plan
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет. Это проверочный этап: ресурсы не будут созданы.
-
-
Создайте кластер.
-
Если в конфигурации нет ошибок, выполните команду:
terraform apply -
Подтвердите создание ресурсов.
После этого в указанном каталоге будут созданы все требуемые ресурсы, а в терминале отобразятся IP-адреса виртуальных машин. Проверить появление ресурсов и их настройки можно в консоли управления.
-
Взаимодействие Managed Service for Kubernetes с KMS происходит с помощью механизма KMS провайдеров. Managed Service for Kubernetes поддерживает KMS-плагин, который используется для шифрования и расшифровки ключей шифрования данных (DEK) в KMS. Шифрование секретов осуществляется стандартными средствами Kubernetes.