开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

使用helm和gcp_kms加密secrets.yml文件时，key权限被拒绝

是因为缺少正确的权限配置。helm是一个流行的Kubernetes包管理工具，用于简化应用程序的部署和管理。gcp_kms是Google Cloud Platform的密钥管理服务，用于加密和解密敏感数据。

当使用helm和gcp_kms加密secrets.yml文件时，需要确保以下步骤和配置正确：

确认已正确安装和配置helm和gcp_kms插件。可以参考helm和gcp_kms的官方文档进行安装和配置。
确认已创建了正确的密钥，并拥有对该密钥的访问权限。在Google Cloud Console中，可以创建和管理密钥。确保密钥的权限设置正确，包括加密和解密的权限。
确认已正确配置helm chart中的secrets.yml文件。在secrets.yml文件中，需要指定使用gcp_kms进行加密，并提供正确的密钥名称和密钥版本。
确认当前使用的服务账号具有访问密钥的权限。在Google Cloud Console中，可以为服务账号分配密钥的访问权限。

如果以上步骤和配置都正确，但仍然遇到key权限被拒绝的问题，可以尝试以下解决方法：

检查密钥的权限设置，确保密钥的加密和解密权限正确配置。
检查helm和gcp_kms插件的版本是否兼容。有时候版本不兼容可能导致权限被拒绝的问题。
检查服务账号的权限设置，确保服务账号具有访问密钥的权限。

如果问题仍然存在，可以参考Google Cloud Platform的文档或向Google Cloud支持团队寻求帮助。

推荐的腾讯云相关产品：腾讯云密钥管理系统（KMS）。腾讯云KMS是一种安全且易于使用的密钥管理服务，可帮助用户轻松创建和管理加密密钥，用于保护敏感数据。您可以使用腾讯云KMS来加密和解密secrets.yml文件中的敏感数据。了解更多信息，请访问腾讯云KMS产品介绍页面：https://cloud.tencent.com/product/kms

相关搜索:使用docker文件运行脚本文件(.sh)时权限被拒绝尝试使用qemu运行ARM可执行文件时权限被拒绝 Excel VBA -尝试使用文件系统对象移动文件时出现权限被拒绝错误尝试在PHP中使用cURL从SFTP服务器下载文件时权限被拒绝使用文件系统将数据从本地拷贝到scala中的远程hdfs位置时，hadoop权限被拒绝 python主题模型 python循环换行 python是最好的 python查看端口 python图片保存

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

GitOps 和 Kubernetes 中的 secret 管理

GitOps 是使用 Git 作为基础设施和应用程序配置的来源，利用 Git 工作流，实现 Git 仓库中描述配置的自动化。我们知道基础设施配置和应用程序配置经常都需要访问某种敏感资产，也就是我们通常说的 Secrets（比如身份认证 Token、私钥等），才能正确运行、访问数据或以其他方式与第三方系统以安全的方式进行通信。但是如果直接在 Git 中存储 Secrets 数据显然是非常不安全的行为，我们也不应该这样做，即使是有访问权限控制的私有 Git 仓库。

02

揭示Kubernetes秘密的秘密

你能保守秘密吗？希望如此，因为在这个博客中，我揭示了 Kubernetes 秘密的秘密。首先，我将深入研究 Kubernetes 的秘密机制，然后转向如何保护它们。

06

GitOps 场景下 Kubernetes secrets 加密处理的几种方式

Kubernetes 已经毫无争议的成为了云原生时代的事实标准，在 Kubernetes 上部署应用程序也变得简单起来（无论是采用 kustomize 还是 helm），虽然对于敏感信息（比如用户名、密码、token 和证书等）的处理，Kubernetes 自己提供了 secret 这种方式，但是其是一种编码方式，而非加密方式，如果需要用版本控制系统（比如 git）来对所有的文件、内容等进行版本控制时，这种用编码来处理敏感信息的方式就显得很不安全了（即使是采用私有库），这一点在实现 GitOps 时，是一个痛点。基于此，本文就介绍三种可以加密 Kubernetes secret 的几种方式：Sealed Secrets、Helm Secrets 和 Kamus。

01

关于 Kubernetes 的 Secret 并不安全这件事

K8s 提供了 Secret 资源供我们来保存、设置一些敏感信息，比如 API endpoint 地址，各种用户密码或 token 之类的信息。在没有使用 K8s 的时候，这些信息可能是通过配置文件或者环境变量在部署的时候设置的。

03

通过Kyverno使用KMS、Cosign和工作负载身份验证容器镜像

随着软件供应链攻击的增加，保护我们的软件供应链变得更加重要。此外，在过去几年中，容器的采用也有所增加。有鉴于此，对容器镜像进行签名以帮助防止供应链攻击的需求日益增长。此外，我们今天使用的大多数容器，即使我们在生产环境中使用它们，也容易受到供应链攻击。在传统的 CI/CD 工作流中，我们构建镜像并将其推入注册中心。供应链安全的一个重要部分是我们构建的镜像的完整性，这意味着我们必须确保我们构建的镜像没有被篡改，这意味着保证我们从注册中心中提取的镜像与我们将要部署到生产系统中的镜像相同。证明镜像没有被篡改的最简单和最好的方法之一（多亏了 Sigstore）是在构建之后立即签名，并在允许它们部署到生产系统之前验证它。这就是 Cosign 和 Kyverno 发挥作用的地方。

02

加密 K8s Secrets 的几种方案

你可能已经听过很多遍这个不算秘密的秘密了--Kubernetes Secrets 不是加密的！Secret 的值是存储在 etcd 中的 base64 encoded（编码）[1] 字符串。这意味着，任何可以访问你的集群的人，都可以轻松解码你的敏感数据。任何人？是的，几乎任何人都可以，尤其是在集群的 RBAC 设置不正确的情况下。任何人都可以访问 API 或访问 etcd。也可能是任何被授权在 Namespace 中创建 pod 或 Deploy，然后使用该权限检索该 Namespace 中所有 Secrets 的人。如何确保集群上的 Secrets 和其他敏感信息（如 token）不被泄露？在本篇博文中，我们将讨论在 K8s 上构建、部署和运行应用程序时加密应用程序 Secrets 的几种方法。

02

Gitlab 升级那些事儿

Gitlab 的升级策略似乎已经在私有代码托管平台的搭建与运维中解释得比较详细了，但实际上忽略了秘钥文件 /home/git/gitlab/config/secrets.yml 和 /home/git/gitlab/config/gitlab.yml 的备份。这两个文件不是在容器内的代码文件里面吗？为什么又需要备份这两个秘钥文件呢？其实为了安全性的考虑，Gitlab 自带的备份工具只会备份包括数据库、数据文件以及基本配置信息，而秘钥作为安全文件不在备份之列。这两个秘钥文件涉及到数据库中某些加密字段的加密和解密过程，如果没有这两个原始文件或者使用了新的文件，那么 Gitlab 将无法对这些数据库中已有的加密字段进行解密，从而影响到某些页面的使用，尤其是管理员界面。

02

flux2+kustomize+helm+github 多集群 GitOps 云原生渐进式交付

对于此示例，我们假设有两个集群的场景：暂存(staging)和生产(production)。最终目标是利用 Flux 和 Kustomize 来管理两个集群，同时最大限度地减少重复声明。

01

在 Kubernetes 读取 Vault 中的机密信息

在 Kubernetes 中，我们通常会使用 Secret 对象来保存密码、证书等机密内容，然而 kubeadm 缺省部署的情况下，Secret 内容是用明文方式存储在 ETCD 数据库中的。能够轻松的用 etcdctl 工具获取到 Secret 的内容。通过修改 --encryption-provider-config 参数可以使用静态加密或者 KMS Server 的方式提高 Secret 数据的安全性，这种方式要求修改 API Server 的参数，在托管环境下可能没有那么方便，Hashicorp Vault 提供了一个变通的方式，用 Sidecar 把 Vault 中的内容加载成为业务容器中的文件。

02

Tekton实现java项目部署到k8s的完整CICD流程

上一篇文件 Tekton介绍介绍了Tekton、Tekton的安装教程、以及使用Tekton实现简单的HelloWorld，这篇文章通过复杂的项目实现完整的CI/CD流程来了解Tekton的使用。

02

Tekton实现java项目部署到k8s的完整CICD流程

上一篇文件 Tekton介绍介绍了Tekton、Tekton的安装教程、以及使用Tekton实现简单的HelloWorld，这篇文章通过复杂的项目实现完整的CI/CD流程来了解Tekton的使用。

03

Gitlab CE 8.1.3 安装手册(Debian/Ubuntu)

安装概述 Gitlab的安装过程主要包括以下组件的配置: 安装软件包及解决依赖项 Ruby环境 Go 系统用户数据库(Mysql/Postgresql) Redis Gitlab-CE Nginx 1.安装软件包及解决依赖项 Debian系统默认是没有sudo的。确保你的系统已经更新到最新状态，并安装sudo。 #run as root! apt-get update -y apt-get upgrade -y apt-get install sudo -y 1.1安装系统必要的软件包: sudo

05

通过 Python 以 playbook

因为小弟毕设做一个简单的自动化运维系统，所以入了ansible的坑，现在想把毕设过程中一些关键技术的核心代码做下记录，也希望通过此平台与大家相互交流学习，共同进步。

01

K8S与Vault集成，进行Secret管理

Vault 是用于处理和加密整个基础架构秘钥的中心管理服务。Vault 通过 secret 引擎管理所有的秘钥，Vault 有一套 secret 引擎可以使用。

06

使用 helmfile 声明式部署 Helm Chart

本公众号分享的软件服务以及语言均源于网络，只做针对这些软件服务或者语言的使用实践进行分享和整理。本公众号不对任何人进行推荐，在使用这些软件或编程代码时有可能会引发一些问题，甚至导致数据丢失，请您自行承担相应的后果！本公众号概不负责! 若您觉得公众号发布的内容若侵犯到您的权益，请联系及时管理员沟通！

02

Jenkins X 3.x GA 来了！

Jenkins X 在 kubernetes 上自动执行 CI/CD，这将帮助你提升:

03

在 Kubernetes 上部署 Secret 加密系统 Vault

HashiCorp Vault 是一个基于身份的 Secret 和加密管理系统。Secret 是您想要严格控制访问的内容，例如 API 加密密钥、密码或证书。Vault 提供由身份验证和授权方法控制的加密服务。使用 Vault 的 UI、CLI 或 HTTP API，可以安全地存储和管理对机密和其他敏感数据的访问、严格控制和可审计。

02

多集群运维(番外篇)：SSL证书的管理

在多 Kubernetes 集群环境中，采用泛域名证书管理是一种有效策略。通过申请一个泛域名证书，你能够为同一根域名下的多个子域名提供安全的通信。使用泛域名证书（Wildcard Certificate）和 HashiCorp Vault 对于在多个 Kubernetes 集群中有效地管理证书是一个有效的策略。

03

使用 Flux，Helm v3，Linkerd 和 Flagger 渐进式交付 Kubernetes

本指南将引导您在 Kubernetes 集群上设置渐进式交付 GitOps 管道。

01

Kubernetes安装

minikube 创建集群安装kubelet 添加rpm源 cat << EOF |tee /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kubernetes baseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64/ enabled=1 gpgcheck=1 repo_gpgcheck=0 gpgkey=https://mirrors.aliyun.

02

kubernetes(十二) 准入控制和helm v3包管理

RBAC（Role-Based Access Control，基于角色的访问控制）：负责完成授权（Authorization）工作。

03

2019年3月4日 Go生态洞察：Go Cloud Development Kit的新动态 ️

嗨，猫头虎博主在此！🐆🦉 今天我们要聊的是Go Cloud Development Kit的最新更新。如果你在寻找关于Go语言和云开发的最新资讯，那么这篇博文正适合你。我们将深入探讨2019年3月4日Google团队发布的这个令人兴奋的项目。让我们一起探索如何使云开发变得更简单、更高效吧！

01

Kubernetes GitOps 工具

在我看来，Kubernetes的优势主要在于它的声明式性质与控制循环相结合，并通过这些控制循环持续监控集群的活动状态，确保它与etcd中存储的期望状态保持一致。这种方式非常强大，但同时其数据库也被限制为etcd(etcd仅提供了有限的可观察性)，并影响到了集群变更时的责任性和审计性。另外一个缺点是将etcd和代码仓库作为两个SOT(sources of truth)，有可能会导致配置漂移，造成管理上的困难。

01

1.基于GitLab代码仓库的持续集成基础配置和使用

[TOC] 0x00 前言简述 CI/CD介绍 Q：我们常说的CI/CD是什么? CI 为 Continuous Integration 的缩写持续集成，可以理解为代码变动提交后，自动执行代码编译、代

01

Linkerd 2.10(Step by Step)—3. 自动轮换控制平面 TLS 与 Webhook TLS 凭证

Linkerd 的自动 mTLS 功能使用一组 TLS 凭据(TLS credentials)为代理生成 TLS 证书(TLS certificates)：信任锚(trust anchor)、颁发者证书(issuer certificate)和私钥(private key)。虽然 Linkerd 每 24 小时自动轮换数据平面代理的 TLS 证书，但它不会轮换用于颁发这些证书的 TLS 凭据。在本文档中，我们将描述如何使用外部解决方案自动轮换颁发者证书和私钥。

02

Helm 管理工具解析

其实，基于容器云生态体系，从本质上来讲，Helm 思想的引入，主要体现在：“关注分离”，在 DevOps 理念中，使得运维与开发职责进一步拆分。于业务角度，使得开发人员能够全身心投入到业务实现上；于资源角度，使得运维人员能够基于业务实现进行资源配置文件的模版建立以及编排操作。

04

使用Helm在Kubernetes多集群上部署应用

为了一次性能够部署多套Kubernetes对象，我们使用Helm并把所有的charts都存放在单独的Git仓库里。为了能够部署一套完整的多个服务构成的应用栈，我们使用了叫作Umbrella的chart。它支持声明依赖并且允许我们使用一条命令行来启动我们的API和对应的服务。

04

（译）Kubernetes 单点登录详解

本文中我们将会为 Kuebernetes 构建一个完备的单点登录系统，这个系统会为 kubectl、Web 应用的 Ingress，以及 Docker 镜像仓库和 Gitea 提供服务，本文中会涉及多数单点登录模型，对于 Gitlab、Kibana、Grafana 等其它应用，应该也是适用的。

05

介绍一个小工具：Kubeseal

今天更新 Homebrew 的时候，眼角余光撇到一个 kube 开头的 Formula：kubeseal，名字还挺酷的，brew home 看了一下项目主页，还是 bitnami 的作品，就多看了下，发现是一个不明觉厉的工具，本着“来都来了”的乐观精神，写了这一篇不知所云的东西（还发现了个 Issue）。

03

腾讯安全推出云数据安全中台，助力企业极简构建数据全生命周期防护

随着企业上云和数字化转型升级的不断深化，数据泄露已经发展成为全球最常见的安全问题之一，企业应该如何加强防范，保障自身数据与业务安全？11月6日至7日，由腾讯云主办的首届Techo开发者大会上，腾讯安全正式发布“云数据安全中台”，助力企业以极简的方式，构建端对端的云数据全生命周期安全体系。

00

helm源码分析-storage

storage模块主要用于管理和操作发布的release信息，当我们通过`helm list、helm history等命令查询release信息时，就涉及到存储相关的知识

03

AWS 容器服务的安全实践

随着微服务的设计模式得到越来越多开发者的实践，容器和微服务已经在生产环境中开始了规模化的部署。在这一过程中，也面临着越来越多的挑战。比如说，很多的微服务之间是相互依赖的，我们需要有更多的手段和方式来进行微服务的计划，扩展和资源管理，另外微服务之间的隔离更少，它们通常会共享内核或者网络，也对安全性提出了更高的要求。

02

在 Kubernetes 上部署使用 Vault

很多时候我们可能都是直接将应用程序的密码或者 API Token 之类的私密信息直接暴露在源代码中的，显然直接暴露这些私密信息不是一个好的方式。在 Kubernetes 系统中提供了一个 Secret 对象来存储私密的数据，但是也只是简单的做了一次 Base64 编码而已，虽然比直接暴露要好点了，但是如果是一些安全性要求非常高的应用直接用 Secret 显然也还是不够的。本文就将来介绍如何使用 HashiCorp Vault 在 Kubernetes 集群中进行秘钥管理。

02

凭据收集总结

本来按计划应该学习横向移动，但是发现一个问题，如何横向？这就是我记录这一章的目的，提升权限之后获取凭证，利用已获取的凭证扩大战果才是正确的姿势，学习的主要资料是参考链接中的分享，建议阅读参考的原文，再次说明，我的只是笔记，记录我的学习过程中的所思所想。

03

GitlabCI与Kubernetes实践·部署GitLab-Runner

Gitlab的持续集成功能依赖于Gitlab Runner组件完成，gitlab runner作为Gitlab这个中控机的执行者，按照代码仓库里面.gitlab-ci.yaml文件里面预定义的任务job按照指定的顺序或并发的执行完成系列的编译、测试、部署等操作，也就是说只要按照.gitlab-ci.yaml的配置格式[1]将写好的.gitlab-ci.yml文件放在代码仓库内，待下一次代码提交commit的时候就会自动的触发仓库绑定的Gitlab Runner去按照.gitlab-ci.yml里面配置的指定的执行。

02

使用 Helmfile 解放你的 Helm Chart

Helm 作为 Kubernetes 的包管理工具和 CNCF 毕业项目，在业界被广泛使用。但在实际使用场景中的一些需求 helm 并不能很好的满足，需要进行一些修改和适配，如同时部署多个 chart、不同部署环境的区分以及 chart 的版本控制。Helmfile 就是一个能够很好解决这些问题的小工具。

01

（译）Google Cloud Run 一瞥

Google 在 Cloud Next’19 上发布了基于 Docker 容器的的 Serverless 新方案。目前可以肯定的是，这是 Serverless 的重要进步——在 Cloud Run 上进行部署比在 Kubernetes 上运行容器简单多了。而且和 Lambda 不同，这一方案没有语言绑定的问题。

02

【云+社区年度征文】在Kubernetes环境中采用Spinnaker的意义

Spinnaker是最初由Netflix设计和开发的开源多云连续交付工具。它有助于将应用程序部署到各种云提供商，例如Google Cloud Platform（GCP），Amazon Web Services（AWS）和Microsoft Azure。

00

在Kubernetes环境中采用Spinnaker的意义

该博客的目的是帮助开发人员，架构师和商业从业人员了解采用Kubernetes环境时使用Spinnaker的重要性。您将了解：

02

分布式存储MinIO Console介绍

1、部署好MinIO后，可以在浏览器输入http://127.0.0.1:9001进入到Login画面

03

跟着大公司学数据安全架构之AWS和Google

近年来数据泄漏的事件层出不穷，网上可以搜到大量的数据泄漏新闻。从业者也都明白，数据泄漏只是一个结果，而原因有很多种，可能是一个越权漏洞，也可能是一个弱口令，有N种可能都会导致泄漏。传统的数据安全保障体系为什么没能有效遏制数据泄漏？是方法论出错了，还是执行不到位？带着这个问题，笔者研究了两家云服务厂商，试图从框架上寻找可借鉴的地方。结论是，有可借鉴的地方，但仍然不足以保证数据安全。

01

Linkerd 2.10(Step by Step)—将 GitOps 与 Linkerd 和 Argo CD 结合使用

GitOps 是一种使用 Git 作为单一事实来源自动管理和交付 Kubernetes 基础设施和应用程序的方法。它通常利用一些软件代理来检测和协调 Git 中受版本控制的工件与集群中运行的工件之间的任何差异。

02

如何优雅的保护 Kubernetes 中的 Secrets

现如今开发的大多数应用程序，或多或少都会用到一些敏感信息，用于执行某些业务逻辑。比如使用用户名密码去连接数据库，或者使用秘钥连接第三方服务。在代码中直接使用这些密码或者秘钥是最直接的方式，但同时也带来了很大的安全问题，如何保证密码、秘钥不被泄露。

01

普通Kubernetes Secret足矣

众所周知，Kubernetes secret 只是以 base64 编码的字符串，存储在集群的其余状态旁边的 etcd 中。自 2015 年引入 secret 以来，安全专家就一直在嘲笑这一决定，并寻求其他替代方案。我认为这些人没有抓住要点。

01

企业级云原生应用交付及管理系列 - Helm 基础 (一)

在 Kubernetes 中，当我们要部署一个应用时，往往会涉及一个或多个部署资源。我们如果使用 YAML 文件来对这些资源的依赖及关联关系进行组织、配置，这往往十分复杂繁琐并且可移植性较差。Helm 这个 Kubernetes 环境中的包管理器可以帮助我们更快速便捷的来实现资源的组织和部署。

02

安装 GitLab CE

DevOps 理念落实得最为彻底的一类案例就是 CI/CD(持续集成/持续交付) 系统

04

Kubernetes 的小秘密——从 Secret 到 Bank Vault

Kubernetes 提供了 Secret 对象用于承载少量的机密/敏感数据，在实际使用中，有几种常规或者非常规的方式能够获取到 Secret 的内容：

01

关于AKSK安全保护的一点思考

在云计算蓬勃发展的当下，云上安全问题无疑变成了头等大事，而AKSK无疑又是云安全问题中不可忽视的一部分。

GitLab CI/CD 自动化构建与发布实践

CI/CD 是一种通过在应用开发阶段引入自动化来频繁向客户交付应用的方法。CI/CD 的核心概念是持续集成、持续交付和持续部署。这篇文章中，我将会介绍基于 GitLab CI/CD 的自动化构建与发布实践。如下图所示，整个流程将分为几个部分：

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭