开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在terraform的GKE集群中开启应用层密钥加密？

在terraform的GKE集群中开启应用层密钥加密，可以通过以下步骤实现：

创建密钥管理服务（KMS）密钥：KMS是Google Cloud Platform（GCP）提供的一种密钥管理服务，用于保护和管理密钥。在GCP控制台中创建一个KMS密钥，选择适当的加密算法和密钥强度。
配置密钥加密：在terraform配置文件中，使用google_container_cluster资源来定义GKE集群。在该资源的master_auth块中，设置cluster_ca_certificate参数为密钥加密所需的证书。
创建密钥加密配置：在terraform配置文件中，使用google_container_cluster资源的resource_labels参数来创建密钥加密配置。设置cloud.google.com/kubernetes-engine-encryption-key标签为之前创建的KMS密钥的全局资源标识符（URI）。
应用密钥加密配置：在terraform配置文件中，使用google_container_cluster资源的metadata参数来应用密钥加密配置。设置annotations参数为"config.kubernetes.io/encryption-provider": "kms://projects/<project_id>/locations/global/keyRings/<key_ring_name>/cryptoKeys/<crypto_key_name>"，其中<project_id>是GCP项目的ID，<key_ring_name>是KMS密钥所在的密钥环名称，<crypto_key_name>是KMS密钥的名称。
执行terraform部署：运行terraform命令来创建或更新GKE集群。terraform将自动应用密钥加密配置，并在集群中启用应用层密钥加密。

应用层密钥加密可以提供额外的安全性，保护在GKE集群中存储的敏感数据。它可以用于加密Pod的存储卷、Secrets、ConfigMaps等。通过使用KMS密钥，可以实现对密钥的集中管理和访问控制。

腾讯云提供了类似的产品和服务，可以使用腾讯云密钥管理系统（KMS）来创建和管理密钥，以及腾讯云容器服务（TKE）来创建和管理容器集群。具体的产品和文档信息，请参考腾讯云的官方网站：腾讯云密钥管理系统（KMS）和腾讯云容器服务（TKE）。

相关搜索:使用Terraform在Composer GKE集群中创建Kubernetes密钥用于GKE集群创建的terraform中的release-channel属性如何在Ansible中检索创建的Google Kubernetes (GKE)集群的凭据？如何在ssl密钥交换期间查看wireshark中的加密密钥？如何在Python的加密模块中访问私有RSA密钥的组件？如何在GKE中添加不同于internet的默认路由，并使集群继续工作？如何在不将密钥传递给Oracle Server的情况下加密Oracle中的列？如何在Spring中修复“无法将此命令分派到Redis集群，因为密钥有不同的槽”Terraform:如何在AKS集群的第二个负载均衡器中配置后端池VM规模设置 python配合c

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

加密 K8s Secrets 的几种方案

你可能已经听过很多遍这个不算秘密的秘密了--Kubernetes Secrets 不是加密的！Secret 的值是存储在 etcd 中的 base64 encoded（编码）[1] 字符串。这意味着，任何可以访问你的集群的人，都可以轻松解码你的敏感数据。任何人？是的，几乎任何人都可以，尤其是在集群的 RBAC 设置不正确的情况下。任何人都可以访问 API 或访问 etcd。也可能是任何被授权在 Namespace 中创建 pod 或 Deploy，然后使用该权限检索该 Namespace 中所有 Secrets 的人。如何确保集群上的 Secrets 和其他敏感信息（如 token）不被泄露？在本篇博文中，我们将讨论在 K8s 上构建、部署和运行应用程序时加密应用程序 Secrets 的几种方法。

02

解读 TiDB：行走在 GKE 上的 NewSQL 开源数据库

数字化时代下，企业的发展与数据库的建设息息相关。如果搭建云下数据库，不仅要通过大量的运维投入保证数据库稳定运行，随着企业规模与数据量的发展，还要应对数据库扩容、弹性、运维、备份等各种各样的问题，云下数据库对企业提出的要求日益增长。此时有两种应对之法，一是凭借扩充技术团队解决问题，但这无疑将会带来不菲的运维与人员成本，二则是把一切交给云服务。

01

新的云威胁！黑客利用云技术窃取数据和源代码

据BleepingComputer消息，一个被称为 "SCARLETEEL "的高级黑客行动正针对面向公众的网络应用，其主要手段是渗透到云服务中以窃取敏感数据。网络安全情报公司Sysdig在应对某客户的云环境事件时发现了SCARLETEEL。虽然攻击者在受感染的云环境中部署了加密器，但在AWS云机制方面表现出更专业的技术，进一步钻入该公司的云基础设施。 Sysdig认为，加密劫持攻击仅仅是一个诱饵，而攻击者的目的是窃取专利软件。 SCARLETEEL攻击 SCARLETEEL攻击开始时，黑客利用了

02

一个正经开发人员的安全意识

“Claude Shannon: The enemy knows the system”

02

Fortify软件安全内容 2023 更新 1

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合提供支持，包括 Fortify 静态代码分析器（SCA）和 Fortify WebInspect。如今，Fortify 软件安全内容支持 30 种语言的 1，399 个漏洞类别，涵盖超过 100 万个单独的 API。

03

通过Kyverno使用KMS、Cosign和工作负载身份验证容器镜像

随着软件供应链攻击的增加，保护我们的软件供应链变得更加重要。此外，在过去几年中，容器的采用也有所增加。有鉴于此，对容器镜像进行签名以帮助防止供应链攻击的需求日益增长。此外，我们今天使用的大多数容器，即使我们在生产环境中使用它们，也容易受到供应链攻击。在传统的 CI/CD 工作流中，我们构建镜像并将其推入注册中心。供应链安全的一个重要部分是我们构建的镜像的完整性，这意味着我们必须确保我们构建的镜像没有被篡改，这意味着保证我们从注册中心中提取的镜像与我们将要部署到生产系统中的镜像相同。证明镜像没有被篡改的最简单和最好的方法之一（多亏了 Sigstore）是在构建之后立即签名，并在允许它们部署到生产系统之前验证它。这就是 Cosign 和 Kyverno 发挥作用的地方。

02

云原生全景图详解系列（二）：供应层

在云原生全景图详解系列（一）：带你了解云原生技术图谱中，我们对 CNCF 的云原生技术生态做了整体的介绍。从本篇开始，将详细介绍云原生全景图的每一层。

01

从第19期技术雷达看 DevOps 的发展趋势

2018年下半年的技术雷达发布了。看过的朋友可能和我的感觉一样，会发现大部分条目都是和微服务和 DevOps 相关，但这些条目散落在不同的象限里。本文将这些散落在不同象限的条目采用以下 5 个主题进行重组：

03

云原生之旅的最佳 Kubernetes 工具

嗨，在当今动态的环境中，在 450 多家经过 Kubernetes 认证的服务提供商和众多经过 Kubernetes 认证的发行版中进行导航可能是一项艰巨的挑战。本博客旨在通过展示精心整理的2023 年最常用和最流行的 Kubernetes 工具列表来简化此过程。

01

Jenkins X 3.x GA 来了！

Jenkins X 在 kubernetes 上自动执行 CI/CD，这将帮助你提升:

03

从IAC资源管理到部署APP全链路自动化

在软件开发和IT运维领域，配置管理一直是不可或缺的一环。随着技术的发展，配置管理经历了多个时期，涌现出了各种工具和方法。本文将探讨配置管理的历史，并重点关注以下四个方面：版本控制、应用配置、系统配置以及云化的资源配置。

01

Gitlab as Code (一)

谈到 Infrastructure as Code 大家想到的大多都是管理各种云上资源，如管理几百个 EC2 实例，十几个 Kubernetes 集群或几千条 DNS 记录。而 GitLab 作为一个核心功能是代码管理的 DebOps 平台，很少有人将其作为“基础设施”来进行管理，更多的是作为存放 IaC 代码的平台。那么，我可以使用 IaC 的方式来管理我的 GitLab 吗？

01

采用基础设施即代码的演练

翻译自 A Walkthrough of Adopting Infrastructure as Code 。

01

terraform 入门：创建腾讯云 k8s 集群

本文适合不喜欢在浏览器中点点点，并刚刚入门或者想要入门 terraform 的小伙伴。

04

使用Terraform管理Kubernetes资源

使用 Terraform 创建 Kubernetes (k8s) 资源涉及将基础设施定义为代码。这允许您的部署实现自动化、版本控制和可重复性。在这里，我将指导您使用 Terraform 创建一些常见的 Kubernetes 资源：命名空间、部署和服务。

01

使用Terraform创建QCS角色

在一些规模较大的企业，特别是外企，喜欢使用terraform来批量管理云产品的资源，腾讯云对Terraform的支持也是比较完善的

05

工程师必须知道的20个DevOps面试题

在我的职业生涯中，我有机会参与许多次面试，也进行过许多次面试。这种独特的位置让我对招聘过程有了更深入的理解，尤其是在DevOps领域。在这篇文章中，我渴望通过概述一些关键的面试问题，分享我积累的见解和知识，这些问题对于致力于推进职业生涯的DevOps工程师来说可能非常宝贵，无论您是准备进入就业市场还是希望提高面试技巧。

01

Crossplane - 比 Terraform 更先进的云基础架构管理平台？

在 11 月的 KCD 上海现场，听了一场阿里云的工程师关于他们自己的多云基础架构管理工具的介绍，前边的引言部分有介绍到 Terraform，还有另一款竞品就是 Crossplane，而且表示 Crossplane 在通用性 API 等方面做得比 Terraform 更好，阿里云的也参考了其架构和实现。就让我很感兴趣，同时在 2019 年使用 OpenShift 4 的时候也在其 OperatorHub 里有发现 Crossplane，当时觉得其 Logo 很有辨识度便一直有印象。所以这次抽了个周末专门体验了一下，看它是否当得起这个标题。开始~

02

一篇文章就教你快速理解SSL协议

SSL协议，全称“Secure Sockets Layer”，是一种网络安全协议，主要用于在客户端和服务器之间建立加密连接，从而确保网络传输的安全性和可靠性。

01

如何建立TLS连接？TLS握手失败可能这个原因！

签前面三个案例里的HTTP都没加密，使排查工作省去不少麻烦，抓包文件里直接就看清应用层信息。

04

从薪火相传的密钥文件到“密码即服务”

当我们加入一个团队时，通常会有一个Readme文档告诉你项目代码库的下载链接。除此之外它会告诉你需要向团队“前辈”索要密钥文件，不然你的代码是不能在本地启动的。同时有人告诉你，这个密钥文件千万不要加入到git仓库中。

02

使用 AWS、k3s、Rancher、Vault 和 ArgoCD 在 Kubernetes 上集成 GitOps

最近我写了一篇关于 CI 和 CD 之间核心区别的文章，我觉得是时候把这些理论运用到实际当中了。

04

应用层编解码调优思路——TLS/SSL性能优化

接着上篇《基础设施及系统层网络调优思路》我们再来看下对于应用层有哪些优化的思路。“应用层编解码调优思路”将会涉及HTTP1.0、HTTP2、HTTPS、protobuf和gRPC等，由于内容较多，我将拆分为系列文章并于本周内更齐。感兴趣的小伙伴请点个在看或者关注，一起学下去。日拱一卒，让我们开始吧！

01

Kubernetes安全加固的几点建议

随着更多的组织开始拥抱云原生技术，Kubernetes已成为容器编排领域的行业标准。向 Kubernetes转变的这股潮流，很大程度上简化了容器化应用程序的部署、扩展和管理，并实现了自动化，为传统的单体式系统提供了胜于传统管理协议的众多优势。

03

Thoughtworks 第28期技术雷达——工具象限选编

DVC 一直是我们在数据科学项目中管理实验的首选工具。由于 DVC 是基于 Git 的，因此对于软件开发人员来说，DVC 无疑是一个备感熟悉的环境，他们可以很容易地将以往的工程实践应用于数据科学生态中。DVC 使用其特有的模型检查点视图对训练数据集、测试数据集、模型的超参数和代码进行了精心的封装。通过把可再现性作为首要关注点，它允许团队在不同版本的模型之间进行“时间旅行”。我们的团队已经成功地将 DVC 用于生产环境，实现了机器学习的持续交付(CD4ML)。DVC 可以与任何类型的存储进行集成（包含但不限于 AWS S3、Google Cloud Storage、MinIO 和 Google Drive）。然而，随着数据集变得越来越大，基于文件系统的快照可能会变得特别昂贵。当底层数据发生快速变化时，DVC 借由其良好的版本化存储特性可以追踪一段时间内的模型漂移。我们的团队已经成功地将 DVC 应用于像 Delta Lake 这样的数据存储格式，利用它优化了写入时复制（COW）的版本控制。我们大多数的数据科学团队会把 DVC 加入到项目的“Day 0”任务列表中。因此，我们很高兴将 DVC 移至采纳。

03

不背锅运维：Terraform管理Kubernetes的初体验

Terraform 是一个开源的基础设施即代码（Infrastructure as Code）工具，可以帮助用户自动化创建、变更和管理基础架构资源。使用 Terraform，用户可以通过编写简单的声明式语言来描述他们需要的基础架构资源，然后 Terraform 会自动完成创建、更新和删除等操作，从而简化了基础架构管理的过程。

02

Wireshark分析SSL协议[通俗易懂]

SSL：（Secure Socket Layer，安全套接字层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。该协议由两层组成：SSL记录协议和SSL握手协议。

01

一通百通，一文实现灵活的K8s基础架构！

Kubernetes是当前最为流行的开源容器编排平台，成为众多企业构建基础架构的首选。在本文中，我们将探讨针对你的用例构建基础设施的最佳方式，以及你可能要根据各种限制条件做出的各种决定。

01

HTTPS、SSL、TLS三者之间的联系和区别

SSL(Secure Socket Layer 安全套接层)是基于HTTPS下的一个协议加密层，最初是由网景公司（Netscape）研发，后被IETF（The Internet Engineering Task Force - 互联网工程任务组）标准化后写入（RFCRequest For Comments 请求注释），RFC里包含了很多互联网技术的规范！

02

以Chef和Ansible为例快速入门服务器配置

这篇文章讨论了如何在我们的环境中安装和配置软件，这个任务通常被称为服务器配置（Server Provisioning）。

03

揭示Kubernetes秘密的秘密

你能保守秘密吗？希望如此，因为在这个博客中，我揭示了 Kubernetes 秘密的秘密。首先，我将深入研究 Kubernetes 的秘密机制，然后转向如何保护它们。

06

一个人如何完成一家创业公司的技术架构？

这是一篇长篇阔论的文章，是关于我使用 SaaS 来运行设置的详细介绍，文章会涉及到多方面的内容，包括负载均衡、cron 作业监控、订阅和支付等等。

04

SSL协议工作过程

SSL协议位于TCP/IP协议与各应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）、SSL握手协议（SSL Handshake Protocol）

02

如何使用TerraGuard创建你自己的虚拟专用网络

我们需要以sudo权限执行安装和部署操作，因为我们需要权限在本地主机上安装代码包，配置一个网络接口并开启进程。

01

深信服scsa知识点一「建议收藏」

2.IPSEC能加密经过NAT转换的报文，但是不能验证经过NAT转换的报文，在穿越NAT时IKE协商的IP地址和端口不匹配

02

k8s集群5个故障案例分析

最近看到了一份收集Kubernetes故障案例的资料，资料由ZalandoTech的高级首席工程师Henning Jacobs加以维护。这个由社区驱动的项目全面介绍了Kubernetes反模式以及为何导致Kubernetes运行错误的原因。

04

https的原理「建议收藏」

上过网的朋友都知道，网络是非常不安全的。尤其是公共场所很多免费的wifi，或许只是攻击者的一个诱饵。还有大家平时喜欢用的万能钥匙，等等。那我们平时上网可能会存在哪些风险呢？ 1. 泄密，个人隐私、账户密码等信息可能会被盗取。 2. 篡改，收到的数据可能被第三方修改过，或被植入广告等。 3. 假冒，访问的站点非目标服务器站点。如域名欺骗、域名劫持、钓鱼网站等。

01

Nomad正在接管Kubernetes吗

根据目前的市场状况，我们大多数人都认为Kubernetes（又称 "K8s"）赢得了容器编排的战斗，战胜了Docker Swarm和Mesos等替代方案。也许这是一个旧闻，但在K8s（2014年）的同时，还有一个平行的参与者在海上航行，但没有被许多技术人员所关注，那就是HashiCorp的Nomad（2015）。从谷歌孵化出来并得到社区持续支持的Kubernetes是容器编排的事实标准。然而，Kubernetes并不是所有用例的解决方案。正如许多开发者提到的新功能的复杂性。开发困难疑问和错误的安全配置作

03

Vault的开源分支OpenBao

首先是 Terraform，现在又是 Vault：HashiCorp 留下的更多开源代码正在找到潜在竞争对手的新归宿。这一次，IBM 正在探寻这些战利品。

01

Web开发者安全速查表

想要开发出一个安全的、健壮的Web应用其实是非常困难的，如果你觉得这实现起来非常简单的话，那么你一定是一个X炸天的程序猿，要么你就是在白日做梦…… 写在前面的话如果你觉得你可以在一个月之内开发出一款集使用价值、用户体验度、以及安全性为一身的产品，那么在你将产品原型真正推上市场之前，请一定要三思啊！当你仔细核查了本文给出的安全小贴士之后，你可能会发现你在产品的开发阶段跳过了很多重要的安全步骤。有的时候，也许你应该对你的用户坦诚一点，你应该诚实地告诉他们这款产品还没有完全搞定，还有很多的安全问题亟待解决。

09

GitLab CI / CD管道的5个优势

许多CI / CD系统工具为开发团队和DevOps团队提供了源代码控制，构建工件和部署功能等功能。GitLab就是其中之一，但是该产品为CI / CD管道带来了某些优势，从易于安装到高级自动化。基于Web的工具鼓励团队内适当的代码实践，并安全地部署到生产中。

02

SSH免密登录

SSH（Secure Shell）是较可靠的专为远程登录会话和其他网络服务提供安全性的协议，该协议会通过非对称加密方式对客户端发送的数据加密，对接收端的数据进行解密，从而实现数据传输的安全性。但传统的服务如FTP、Telnet都是明文传输，数据传输不安全，容易收到中间人攻击

04

使用ChatGPT实现同城双活部署

今天老板让我写一篇腾讯云云原生的微服务项目部署实践，还要实现同城双活。听说ChatGPT已经“出圈”了，无所不能，还可以帮人写文章，刚好最近比较懒，看看他能否帮我写完这篇实践，并教会我实现同城双活部署。

Android高级工程师面试必备之计算机网络基础

应用层任务：通过应用进程间的通信交互来完成特定的网络应用应用层协议：应用进程间的通信交互规则报文：应用层交互的数据单元支持的协议有：

04

弥合基础设施即代码和GitOps的鸿沟

如何将Terraform、Crossplane和Atlantis巧妙地组合使用，发挥每项技术的优势，同时保留实施严格日常管理的灵活性。

01

OpenTofu：基础设施代码新时代

从生态系统的视角看，OpenTofu 那颇具变革性的"可信潜力"或可为推广通用标准扮演关键引领角色。

01

企业加密方案指南

本文不讨论加密算法，密码模式之类。只谈在企业应用中的加密应用，比如何时在数据库加密最佳，何时对应用加密，什么数据适合token化，如何把加密组件组合在一起。

02

全解Google（谷歌）基础设施架构安全设计

谷歌的技术基础设施共同构建了搜索、邮件（Gmail)、照片等普通用户系统和G Suite 、谷歌云存储平台等企业系统，是谷歌数据中心的关键，是整个谷歌网络服务赖以存在的安全基础。 FreeBuf在原文基础上，针对谷歌技术基础设施的安全设计作了简要分析与介绍，这些技术基础设施为谷歌全球信息系统提供了一系列安全防护，它们包括运行安全服务、终端用户数据安全存储、服务安全通信、用户安全通信和运维安全管理等。在介绍中，我们将围绕谷歌数据中心的物理安全、整体软硬件基础安全、技术限制和操作的运维安全进行逐层描述。

05

TLS 1.3 Introduction

TLS 的主要目标是为通信的双方提供一个安全的通道。对下层传输的唯一要求是一个可靠的有序的数据流。

07

一文教你了解SSL协议「建议收藏」

简称是SSL，全称Secure Sockets Layer 安全套接字协议，一般我们在学习 SSL 的时候，都会和 TLS一起来学习的，为什么呢？因为 SSL 和 TLS 都是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭