Шифрование секретов в Yandex Managed Service for Kubernetes
Используйте ключ Yandex Key Management Service для шифрования секретов — конфиденциальной информации, такой как пароли, OAuth-токены и SSH-ключи, в Yandex Managed Service for Kubernetes. Для этого при создании кластера Managed Service for Kubernetes укажите ключ Key Management Service, который будет использоваться при шифровании и расшифровании.
Ключ шифрования необходимо указать при создании кластера Managed Service for Kubernetes, его нельзя добавить при изменении кластера.
Необходимые платные ресурсы
В стоимость поддержки описываемого решения входит плата за сервис Key Management Service: количество активных версий ключа (в статусах Active и Scheduled For Destruction) и выполненных криптографических операций (см. тарифы Key Management Service).
Укажите ключ при создании кластера Managed Service for Kubernetes:
- В консоли управления выберите каталог, в котором будет создан кластер Managed Service for Kubernetes.
- В списке сервисов выберите Managed Service for Kubernetes.
- Нажмите кнопку Создать кластер.
- В поле Ключ шифрования укажите необходимый ключ или создайте новый.
- Закончите заполнение параметров создания кластера.
- Нажмите кнопку Создать.
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
Указать ключ при создании кластера Managed Service for Kubernetes можно двумя способами.
-
Используя идентификатор ключа:
yc managed-kubernetes cluster create \ ... --kms-key-id <идентификатор_ключа> \ ... -
Используя имя ключа:
yc managed-kubernetes cluster create \ ... --kms-key-name <имя_ключа> \ ...
Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.
Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.
Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.
Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.
Укажите ключ при создании кластера Managed Service for Kubernetes:
-
Добавьте блок
kms_providerв описание кластера Managed Service for Kubernetes:resource "yandex_kubernetes_cluster" "<имя_кластера>" { ... kms_provider { key_id = "<идентификатор_ключа>" } } -
Проверьте корректность конфигурационных файлов.
-
В командной строке перейдите в каталог, в котором создан конфигурационный файл.
-
Выполните проверку с помощью команды:
terraform plan
Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет. Это проверочный этап: ресурсы не будут созданы.
-
-
Создайте кластер Managed Service for Kubernetes.
-
Если в конфигурации нет ошибок, выполните команду:
terraform apply -
Подтвердите создание ресурсов.
После этого в указанном каталоге будут созданы все требуемые ресурсы, а в терминале отобразятся IP-адреса виртуальных машин. Проверить появление ресурсов и их настройки можно в консоли управления.
-
Укажите ключ шифрования при создании кластера Managed Service for Kubernetes. Для этого воспользуйтесь методом REST API create для ресурса Cluster или вызовом gRPC API ClusterService/Create.
Передайте идентификатор ключа в соответствующем параметре поля kmsProvider.
Взаимодействие Managed Service for Kubernetes с Key Management Service происходит с помощью механизма провайдеров Key Management Service. Managed Service for Kubernetes поддерживает плагин Key Management Service, который используется для шифрования и расшифрования ключей шифрования данных (DEK) в Key Management Service. Шифрование секретов осуществляется стандартными средствами Kubernetes.