PrepBro
← Назад к вопросам

Что такое Sealed Secret в Kubernetes?

2.0 Middle🔥 211 комментариев
#Kubernetes

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Что такое Sealed Secret в Kubernetes?

Sealed Secret — это специальный тип ресурса Kubernetes, разработанный для безопасного управления секретами (Secrets) в кластере. Он представляет собой решение для проблемы безопасного хранения и передачи конфиденциальных данных (паролей, ключей, токенов) до их попадания в кластер Kubernetes.

Основная идея заключается в том, что стандартные объекты Secret в Kubernetes хранятся в базе данных etcd в незашифрованном виде (базово — в виде простых текстовых файлов). Это создает риски безопасности:

  • Данные могут быть прочитаны администраторами etcd.
  • Они могут попасть в логи или вывод команд.
  • Их сложно безопасно передать или хранить вне кластера (например, в Git).

Sealed Secret решает эту проблему путем "запечатывания" (encrypting) секрета до его отправки в кластер, используя криптографию с открытым ключом.

Ключевые компоненты и принцип работы

  1. Sealed Secrets Controller: Это компонент (обычно работающий как Pod в кластере), который управляет процессом. Он генерирует и хранит симметричный ключ, используемый для шифрования/дешифрования.
  2. Клиентский инструмент kubeseal: CLI-инструмент, который используется для создания SealedSecret из обычного Secret.

Процесс выглядит следующим образом:

  • На стороне разработчика/оператора: Вы создаете обычный YAML-манифест для Secret, но НЕ храните его в Git. Затем, используя kubeseal, вы шифруете этот манифест. kubeseal связывается с Sealed Secrets Controller в кластере, получает от него открытый ключ и использует его для шифрования данных секрета.
  • Результат: Вы получаете новый YAML-манифест с типом SealedSecret, который содержит только зашифрованные данные. Этот файл можно безопасно хранить в Git, передавать или архивировать.
  • В кластере: Когда вы применяете манифест SealedSecret (например, через kubectl apply), Sealed Secrets Controller обнаруживает его, дешифрует используя свой закрытый ключ (который никогда никуда не передается), и автоматически создает соответствующий обычный объект Secret в том же namespace.

Пример использования

  1. Создание обычного Secret (локально, не для сохранения):
# plain-secret.yaml (НЕ коммитить в Git!)
apiVersion: v1
kind: Secret
metadata:
  name: my-db-password
  namespace: default
type: Opaque
data:
  password: c3VwZXJzZWNyZXRwYXNz  # Баз64-encoded "supersecretpass"
  1. "Запечатывание" Secret с помощью kubeseal:
# Команда свяжется с контроллером в кластере, получит публичный ключ и зашифрует секрет.
kubeseal --format yaml < plain-secret.yaml > sealed-secret.yaml
  1. Результат — безопасный SealedSecret (можно коммитить в Git):
# sealed-secret.yaml (МОЖНО коммитить в Git)
apiVersion: bitnami.com/v1alpha1
kind: SealedSecret
metadata:
  name: my-db-password
  namespace: default
spec:
  encryptedData:
    password: AgBy3i4rT5cY5W8...
  # Данные теперь зашифрованы и безопасны для публичного хранения.
  1. Применение в кластере:
kubectl apply -f sealed-secret.yaml

После этого в namespace default автоматически появится обычный Secret с именем my-db-password, готовый для использования в Pods.

Преимущества и ограничения

Преимущества:

  • Безопасное хранение в Git: Конфиденциальные данные можно хранить в репозитории вместе с остальными манифестами.
  • Упрощенный CI/CD: SealedSecret можно применять напрямую в процессе деплоя без дополнительных шагов управления ключами.
  • Ключ никогда не покидает кластер: Закрытый ключ для дешифрования находится только в контроллере внутри кластера, что минимизирует риск его утери.
  • Namespace-scoped: SealedSecret, созданный для одного namespace, нельзя применить в другом, что добавляет уровень защиты.

Ограничения и соображения:

  • Не является полной заменой внешних систем управления секретами (например, HashiCorp Vault). Он не предоставляет сложные политики ротации, аудита или динамической генерации секретов.
  • Зависимость от состояния кластера: Для создания нового SealedSecret нужен работающий контроллер в кластере (для получения публичного ключа).
  • Вопросы ротации ключей: Если закрытый ключ контроллера скомпрометирован или утерян, все ранее созданные SealedSecret станут нечитаемыми. Процессы ротации ключей требуют планирования.

Таким образом, Sealed Secret — это эффективный инструмент из экосистемы Kubernetes (проект поддерживается Bitnami), который заполняет важный пробел в безопасности, позволяя безопасно интегрировать управление секретами в GitOps-практики и рабочие процессы, основанные на декларативных манифестах. Он особенно полезен в сценариях, где требуется простое и безопасное распространение статических секретов среди разработчиков и операторов.