Jenkins X 在 kubernetes 上自动执行 CI/CD,这将帮助你提升:
HashiCorp Vault 是一个基于身份的 Secret 和加密管理系统。Secret 是您想要严格控制访问的内容,例如 API 加密密钥、密码或证书。Vault 提供由身份验证和授权方法控制的加密服务。使用 Vault 的 UI、CLI 或 HTTP API,可以安全地存储和管理对机密和其他敏感数据的访问、严格控制和可审计。
1.大规模 IoT 边缘容器集群管理的几种架构-0-边缘容器及架构简介[1]2.大规模 IoT 边缘容器集群管理的几种架构-1-Rancher+K3s[2]
在 Kubernetes 中,我们通常会使用 Secret 对象来保存密码、证书等机密内容,然而 kubeadm 缺省部署的情况下,Secret 内容是用明文方式存储在 ETCD 数据库中的。能够轻松的用 etcdctl 工具获取到 Secret 的内容。通过修改 --encryption-provider-config 参数可以使用静态加密或者 KMS Server 的方式提高 Secret 数据的安全性,这种方式要求修改 API Server 的参数,在托管环境下可能没有那么方便,Hashicorp Vault 提供了一个变通的方式,用 Sidecar 把 Vault 中的内容加载成为业务容器中的文件。
入口代理主要为接受来自外部网络的请求并根据自定义规则定义和行为将它们转发至集群上运行的服务的工作节点。
Vault 是用于处理和加密整个基础架构秘钥的中心管理服务。Vault 通过 secret 引擎管理所有的秘钥,Vault 有一套 secret 引擎可以使用。
很多时候我们可能都是直接将应用程序的密码或者 API Token 之类的私密信息直接暴露在源代码中的,显然直接暴露这些私密信息不是一个好的方式。在 Kubernetes 系统中提供了一个 Secret 对象来存储私密的数据,但是也只是简单的做了一次 Base64 编码而已,虽然比直接暴露要好点了,但是如果是一些安全性要求非常高的应用直接用 Secret 显然也还是不够的。本文就将来介绍如何使用 HashiCorp Vault 在 Kubernetes 集群中进行秘钥管理。
目前公司内部网站、项目比较多,运维的密钥管理主要都是靠个人保存,其中包含数据库密钥信息、申请的TLS证书、AWS密钥信息、各管理平台的密钥等,管理混乱,容易丢失,希望有一个平台能统一收集管理、签发、授权、审计。
在多 Kubernetes 集群环境中,采用泛域名证书管理是一种有效策略。通过申请一个泛域名证书,你能够为同一根域名下的多个子域名提供安全的通信。使用泛域名证书(Wildcard Certificate)和 HashiCorp Vault 对于在多个 Kubernetes 集群中有效地管理证书是一个有效的策略。
上面写法比较啰嗦,为了解决这个问题,声明式pipeline提供了credentials helper方法(只能在environment中使用)来简化凭证的使用。
作者 | Nsikan Essien 译者 | 刘雅梦 策划 | 丁晓昀 GitHub 的 CI/CD 服务产品 GitHub Actions 现在支持使用 Open Identity Connect 凭证对 Hashicorp Vault、AWS、Azure 和 GCP 等云提供商进行身份验证,而无需使用长期凭证或密码。 云的现代开发通常需要针对云提供商对持续集成和持续部署(CI/CD)服务器进行身份验证,以便对已配置的基础设施进行更改。从历史上看,这是通过在云提供商中创建一个身份来实现的,CI
如果你经常使用 Kubernetes,那么应该对 Helm 和 Kustomize 不陌生,这两个工具都是用来管理 Kubernetes 资源清单的,但是二者有着不同的工作方式。
平台工程,即为软件开发构建和管理内部开发者平台的做法,正在迅速流行起来。它的承诺是什么?无缝集成并优化传统的开发和 DevOps 方法,解决其关键差距。
当您听到“云原生”这个词时,您首先想到的是 Kubernetes 吗?Kubernetes 现在是仅次于 Linux 的第二大开源项目,是云原生池塘里的大鱼。但是在 CNCF 领域[1]和更广泛的云原生社区中还有许多其他项目。
K8s 提供了 Secret 资源供我们来保存、设置一些敏感信息,比如 API endpoint 地址,各种用户密码或 token 之类的信息。在没有使用 K8s 的时候,这些信息可能是通过配置文件或者环境变量在部署的时候设置的。
GitOps 是使用 Git 作为基础设施和应用程序配置的来源,利用 Git 工作流,实现 Git 仓库中描述配置的自动化。我们知道基础设施配置和应用程序配置经常都需要访问某种敏感资产,也就是我们通常说的 Secrets(比如身份认证 Token、私钥等),才能正确运行、访问数据或以其他方式与第三方系统以安全的方式进行通信。但是如果直接在 Git 中存储 Secrets 数据显然是非常不安全的行为,我们也不应该这样做,即使是有访问权限控制的私有 Git 仓库。
首先是 Terraform,现在又是 Vault:HashiCorp 留下的更多开源代码正在找到潜在竞争对手的新归宿。这一次,IBM 正在探寻这些战利品。
Kubernetes 已经成为了容器编排方案的行业标准,而来自 HashiCorp 的 Vault 则是密码管理的标准。那问题来了: 怎样将这两项技术结合使用从而可以让你在 Kubernetes 的应用程序中使用来自于 Vault 中心实例的密码呢?
2022.3.9 用 cert-manager 申请成功通配符证书 (*.ewhisper.cn), 2022.4.30 该证书距离过期还有 30 天,cert-manager 进行自动续期,但是却失败了。😱😱😱 然后过了几天,在 2022.5.8, 最终成功了。如下图: 📷 续期成功的 ewhisper.cn 通配符证书 正好借着这个情况捋一下 cert-manager 的 SSL 证书申请流程以及过程中涉及到的相关概念。 中英文对照表 英文 英文 - K8S CRD 中文 备注 certificates
请注意,中国出口管控条例禁止HASHICORP 在中华人民共和国境内销售或以其他方式提供企业版VAULT。鉴于此原因,未经HASHICORP 的书面同意,不得在中华人民共和国境内使用、部署或安装HASHICORP 的VAULT 企业版本软件。
尽管复杂,Kubernetes 仍然是目前最流行的编排器,但 HashiCorp 在 Nomad 上的成功也表明,Kubernetes 的替代方案还有发展空间。
大家好,我是山月,这是我最近新开的专栏:「前端部署系列」。包括 Docker、CICD 等内容,大纲图示如下:
应用程序通常通过使用专用的 Secret 存储来存储敏感信息,如密钥和 Token,用于与数据库、服务和外部系统进行身份验证的 Secret 等。通常这需要涉及到设置一个 Secret 存储,如 Azure Key Vault、Hashicorp Vault 等,并在那里存储应用程序级别的私密数据。为了访问这些 Secret 存储,应用程序需要导入 Secret 存储的 SDK,并使用它来访问私密数据,这可能需要相当数量的代码,这些代码与应用程序的实际业务领域无关,因此在可能使用不同供应商特定的 Secret 存储的多云场景中,这将成为更大的挑战。
根据目前的市场状况,我们大多数人都认为Kubernetes(又称 "K8s")赢得了容器编排的战斗,战胜了Docker Swarm和Mesos等替代方案。也许这是一个旧闻,但在K8s(2014年)的同时,还有一个平行的参与者在海上航行,但没有被许多技术人员所关注,那就是HashiCorp的Nomad(2015)。 从谷歌孵化出来并得到社区持续支持的Kubernetes是容器编排的事实标准。然而,Kubernetes并不是所有用例的解决方案。正如许多开发者提到的新功能的复杂性。开发困难疑问和 错误的安全配置作
根据目前的市场状况,大多数人都同意 Kubernetes(又名“K8s”)赢得了容器编排之战,战胜了 Docker Swarm 和 Mesos 等替代品。但在 K8s (2014) 的同一时间还有另一个编排项目,那就是 HashiCorp 的 Nomad。(2015)
最近我写了一篇关于 CI 和 CD 之间核心区别的文章,我觉得是时候把这些理论运用到实际当中了。
昨天下午,HashiCorp公司的软件使用条款《Terms of Evaluation for HashiCorp Software》在圈里闹的沸沸扬扬。大概长这样:
HashiCorp Vault是一款企业级私密信息管理工具。说起Vault,不得不提它的创造者HashiCorp公司。HashiCorp是一家专注于DevOps工具链的公司,其旗下明星级产品包括Vag
当前公司使用consul来实现服务发现,如Prometheue配置中的target和alertmanager注册都采用了consul服务发现的方式,以此来灵活应对服务的变更。但对于其他服务,是否也有一个通用的方式来使用consul管理配置文件?本文中描述如何使用consul-template来渲染配置文件。
最近不管参加什么技术会议,八成会看到一张看起来无所不能的云原生全景图,这张大图说明,现代软件开发的复杂度,已经让人略有不适了。
最近在使用 Terraform 来置备 OCI 的 Always Free Tier, 发现它非常好用。总结学习下:Terraform 的基础知识。
你可能已经听过很多遍这个不算秘密的秘密了--Kubernetes Secrets 不是加密的!Secret 的值是存储在 etcd 中的 base64 encoded(编码)[1] 字符串。这意味着,任何可以访问你的集群的人,都可以轻松解码你的敏感数据。任何人?是的,几乎任何人都可以,尤其是在集群的 RBAC 设置不正确的情况下。任何人都可以访问 API 或访问 etcd。也可能是任何被授权在 Namespace 中创建 pod 或 Deploy,然后使用该权限检索该 Namespace 中所有 Secrets 的人。 如何确保集群上的 Secrets 和其他敏感信息(如 token)不被泄露?在本篇博文中,我们将讨论在 K8s 上构建、部署和运行应用程序时加密应用程序 Secrets 的几种方法。
了解如何将 Podman 与 Kubernetes 集成以增强容器管理并提高部署效率
Zabbix 5.2 在安全性能做了很大的改进,如支持连接加密,保密宏等。现在zabbix的所有连接都可以配置为加密模式。5.2版本引入了HashCorp Valut来保存一些机密信息到外部存储。HashiCorp Vault 的 口号 是 A Tool for Managing Secrets,这个口号很好的描述了该产品的定位。HashiCorp是一家专注于基础设施解决方案的公司,业务范围涵盖软件开发中的部署、运维、安全等方面。5.2版本中很多敏感信息可保存在HashCorp Valut,而不保存在Zabbix数据库里。如宏信息,数据库连接信息,密码,加密的key等。这进一步加强了Zabbix的安全性,对于一些场景特别适用。
最近爆出不少公司代码泄露的新闻,像前不久的Bilibili后端代码被上传到Github,大疆因为前员工泄露公司源代码,致黑客入侵造成百万损失。生产环境代码泄露的危害,一方面是业务逻辑被不怀好意的人分析,容易被找出可利用的漏洞,当然更危险的是如果代码里面有一些明文存储secrets、Token、Api Key等,这些内容被别人拿到,服务就很容易遭到致命的攻击,给我们带来不可估量的损失 。所以合理存储程序中的secrets是十分有必要的。本文接下来简单给大家介绍解决以上问题方法密钥管理服务(Key Management Service,KMS)以及一款开源的密钥管理工具Vault。
Vault是一个开源工具,提供安全,可靠的方式来存储分发API密钥,访问令牌和密码等加密信息。在部署需要使用加密或敏感数据的应用程序时,您就应该试试Vault。
嗨,在当今动态的环境中,在 450 多家经过 Kubernetes 认证的服务提供商和众多经过 Kubernetes 认证的发行版中进行导航可能是一项艰巨的挑战。本博客旨在通过展示精心整理的2023 年最常用和最流行的 Kubernetes 工具列表来简化此过程。
作者 | M. Altun 译者 | Flora 策划 | 田晓旭 本文作者使用简单明了的语言介绍了当今使用的一些 DevOps 技术和工具。阅读本文后,您将对这些 DevOps 工具,工作方式、以及如何在软件过程中使用有一个整体的了解。 最近一段时间,我们见证了 DevOps 技术的飞速发展。当今流行且功能强大的工具可能会成为下一年度的过时工具,甚至可能很快被另一种工具取代。如前所述,作者的目的不是通过这篇文章来评判哪些工具最受欢迎或功能最全,而是让读者全面了解 DevOps 工具的工作方式以及如何在软件
Consul 是一个由 HashiCorp 公司开发的开源软件,最初发布于2014年5月。HashiCorp 公司是一个专注于云基础设施自动化领域的公司,其产品包括 Terraform、Vault、Nomad 和 Consul 等。
1 Lastpass事件调查:黑客在云存储漏洞中窃取了保险库数据 据Bleeping Computer报道,LastPass于12月22日发生数据泄露事件。攻击者使用2022年8月事件中窃取的信息入侵其云存储,窃取了客户的保险库数据。 https://mp.weixin.qq.com/s/eoywNiI2g0OQDbeUrlYKSA 2 谷歌:云计算引爆API安全危机 API是企业数字化转型的关键,但谷歌的两项调查发现,数字化转型(上云)同时也导致针对API的网络攻击和API自身的攻击面达到一个临界点。 h
定义了如何通过helm安装vault。这里定制了版本、helm repo和想要的value值。
译文链接: https://zhuanlan.zhihu.com/p/369068128 译者:iyacontrol 来源:分布式实验
我们将主要关注Istio,它是服务网格的一种具体实现。在此过程中,我们将介绍Istio的核心架构。
Jeremy xu 从前爱撸码,如今爱遛娃的 十年程序老兵 导言 相信同学们都遇到过这种场景: 每次搭建一个测试场景,会涉及很多台虚拟机,如果全部手工搭建,不仅很繁琐,而且不便于保存成果,下次遇到同样的需求又得重搭一次,而极容易出错,这些人肉操作也不便于修订管理。 所以 让我们祭出今天的主角 妈妈再也用不担心我搭建虚拟机!!! 使用vagrant搭建验证环境 这次的工作需要在一个独立的kubernetes环境调试功能,自然而然地想到在本机装个虚拟机搭建这个环境。不过有同事推荐
- 前言 - 在本教程中,我们将介绍服务网格的基础知识,并了解它如何实现分布式系统架构。 我们将主要关注Istio,它是服务网格的一种具体实现。在此过程中,我们将介绍Istio的核心架构。 - 什么是服务网络 - 在过去的几十年中,我们已经看到了单体应用程序开始拆分为较小的应用程序。此外,诸如Docker之类的容器化技术和诸如Kubernetes之类的编排系统加速了这一变化。 尽管在像Kubernetes这样的分布式系统上采用微服务架构有许多优势,但它也具有相当的复杂性。由于分
vault 是HashiCorp出品的一款久经考验的机密管理软件,HashiCorp家的terraform也很有名,改天有空再写terraform相关的。
https://developer.hashicorp.com/vault/api-docs/system/policies-password
当地时间 2024 年 4 月 24 日,IBM 宣布斥资 64 亿美元(即每股 35 美元)收购了 Terraform 的创造者 HashiCorp,希望能在自家红帽品牌提供的混合云功能基础之上做出进一步探索。HashiCorp 在云生态系统中拥有广泛的影响力,它与众多主流云厂商都是合作伙伴关系。
这个博客最初是由Ayrat Khayretdinov在CloudOps博客上发布
领取专属 10元无门槛券
手把手带您无忧上云