Kubernetes Secrets加密与密钥轮换实践

概述目标：对存储在etcd中的Secrets进行加密，并建立密钥轮换流程以降低泄露风险，满足合规要求。适用：生产集群、包含敏感配置的工作负载。核心与实战EncryptionConfiguration示例（AES与KMS）：apiVersion: apiserver.config.k8s.io/v1 kind: EncryptionConfiguration resources: - resources: ["secrets"] providers: - kms: name: my-kms endpoint: unix:///var/run/kms-provider.sock cachesize: 1000 - aescbc: keys: - name: key1 secret: 32-byte-base64== - identity: {} 启用加密：-- 在API Server启动参数中添加： --encryption-provider-config=/etc/kubernetes/encryption-config.yaml 密钥轮换流程：1) 生成新密钥并添加为列表首位（aescbc.keys[0]）或更新KMS密钥 2) 重启API Server使新密钥生效 3) 触发资源重加密： kubectl get secrets -A -o json | kubectl replace -f - 示例验证加密：ETCDCTL_API=3 etcdctl --endpoints=127.0.0.1:2379 get /registry/secrets/prod/web --hex | head -- 期望：存储内容不可读（密文） KMS提供者：-- 使用外部KMS（如Vault或云KMS）实现密钥托管与审计 验证与监控API Server健康：观察加密提供者加载日志与错误；确保轮换后正常服务。重加密进度：统计Secrets更新数量与失败重试；在低峰进行操作。审计：记录密钥更改与轮换时间；外部KMS提供审计日志。常见误区未进行重加密导致旧密钥仍在etcd；需replace流程。把identity置于首位导致未加密；正确顺序应优先KMS/AEAD。在高峰进行轮换导致性能抖动；需低峰并分批。结语通过EncryptionConfiguration与KMS提供者加密Secrets并建立轮换流程，可显著提升集群敏感数据的安全与合规。