组件介绍
External Secrets 组件用于在 TKE 集群中实现 Kubernetes Secret 的外部化管理。组件通过对接外部密钥管理系统(如腾讯云 SSM、HashiCorp Vault、AWS Secrets Manager 等),将外部密钥自动同步为 Kubernetes Secret,从而避免在代码仓库或配置文件中直接存储敏感信息。
组件包含的子模块
子模块 | 类型 | 说明 |
external-secrets | Deployment | 核心 Controller,负责 ExternalSecret / ClusterExternalSecret / PushSecret 的协调与同步。 |
webhook | Deployment | Validating Webhook Server,对 CRD 资源进行准入校验,保障配置合法性。 |
cert-controller | Deployment | 证书控制器,负责自动轮换 Webhook 所需的 TLS 证书。 |
支持的 CRD 资源
CRD | 说明 |
SecretStore | 命名空间级别的密钥存储后端配置。 |
ClusterSecretStore | 集群级别的密钥存储后端配置。 |
ExternalSecret | 命名空间级别的外部密钥同步对象。 |
ClusterExternalSecret | 集群级别的外部密钥同步对象,可跨命名空间创建 Secret。 |
PushSecret | 将 Kubernetes Secret 推送到外部密钥管理系统。 |
配置参数说明
全局参数
参数 | 说明 | 默认值 |
replicaCount | external-secrets Controller 的副本数 | 1 |
image.pullPolicy | 镜像拉取策略 | IfNotPresent |
使用方法
安装组件
您可以按照以下步骤进行安装:
1. 登录 容器服务控制台,在左侧导航栏中选择集群。
2. 在集群列表中,单击目标集群 ID,进入集群详情页。
3. 选择左侧菜单栏中的组件管理,在组件管理页面单击新建。
4. 在新建组件管理页面中勾选 external-secrets。
5. 单击完成即可创建组件。
