Kubernetes非常受欢迎，很大程度上要归功于它的灵活性。由于其模块化，它还可以快速部署。然而，为了保持这种模块化，您需要以流畅且可定制的方式构建云环境；这意味着确保 ConfigMap 和 Secret 的设计与基础设施无关。

您可能还会喜欢：  Kubernetes 秘密管理
特别是，秘密很容易与现有服务集成。您可以存储敏感的配置选项（包括令牌和用户 ID），以使容器尽可能易于部署。事实上，配置良好的 Secret 允许容器跨多个环境和集群部署。

保持最大灵活性需要解决的唯一挑战是秘密管理。虽然 Secrets 使用 Base64 进行编码，但您仍然不希望在 Secrets 中公开存储敏感信息。Base64 字符串仍然可以以最小的努力进行解码，因此需要更好的秘密管理。幸运的是，有一些工具可以帮助简化管理 Secret 的过程。

将 PostgreSQL 数据库与 ANF 无缝集成

想象一下无需支付任何许可费即可获得最高性能。加入我们即将举办的研讨会，了解Instaclustr 如何让您比以往更轻松地部署数据库等！

秘密行动作为解决方案
在管理 Kubernetes Secret 时，Secrets OPerationS等开源工具被认为是更好的选择。就 Mozilla Secrets OPerationS 而言，该工具不依赖于特定的云平台，这意味着您可以轻松地将其与 Amazon KMS 和 Google KMS 一起使用。SOPS 甚至设计为与 GPG 或对称密钥配合使用，因此您可以使用它来管理 Git 上的机密。

加密是 Mozilla SOPS 的另一个强项。虽然它不像 BlackBox 等工具那么复杂，但 Mozilla Secrets OPerationS 在加密整个 Secrets 文件方面效果非常好。它还可以很好地处理部分加密。更重要的是，您不必费力去完成这些任务。在处理基于键值的文件（例如 JSON 和 YAML）时，您甚至可以在不加密密钥的情况下加密值。

如前所述，Mozilla SOPS 与 Amazon 和 Google Secrets 管理工具配合得非常好。它可以无缝地从云端获取加密密钥，而且无需基于云的密钥即可用于加密 Secret。sops大多数操作都使用  简单的 命令；sops -d filename.yaml自动解密 .yaml 文件。

Secrets OPerationS和 Amazon KMS
Mozilla SOPS 和 Amazon KMS 的集成使该工具更加强大。您只需使用额外的参数即可使用KMS提供的云加密密钥。SOPS 自动加密 Secret 文件中每个密钥的值，同时保持密钥完好无损。结果是一个配置文件，可以安全地与您的代码一起存储。 –kms 

仅当授予对 Amazon KMS 的访问权限时，才能解密配置文件。该  –decrypt命令可让您无缝地利用加密密钥。当然，您可以使用附加命令将 Secret 文件推送到集群kubectl apply并强制使用 Secret 文件。Helm-secrets还使解密和注入 Kubernetes 机密的过程变得更加容易。

请记住，SOPS 现在是用 Go 编写的。使用 Python 开发的旧版本已不再使用，但如果您仍想使用它，可以在 GitHub 上访问该版本。关于 Mozilla SOPS 需要注意的另一件事是它缺乏依赖性。Mozilla Secrets OPerationS 可以独立运行，不依赖于其他工具或服务来运行。

在谈论 Mozilla SOPS 与 Amazon KMS 的使用时，我们确实不能不谈论该工具对密钥策略和加密上下文的支持。是的，您可以向加密过程添加角色、环境类型和其他详细信息等参数。轮换数据密钥以获得最大安全性就像运行  sops -r filename.yaml 命令一样简单。

附加功能
从我们到目前为止讨论的功能中，很容易看出 Mozilla SOPS 如何让您轻松管理 Kubernetes Secret。该工具还具有在敏捷开发周期中派上用场的附加功能。我个人最喜欢的是内置审核工具，它允许使用转发到数据库来记录事件。该功能设置起来有点困难，但是一旦正确配置了 /etc/sops/audit.yaml 文件，您就会发现该功能很有价值。

支持  $EDITOR是 SOPS 提供的另一个额外功能。正如该字符串所示，您可以自动解密 Secret 文件，并使用您指定的编辑器通过一个简单的命令打开它。解密过程是即时完成的，无需实际转换文件，因此您可以编辑 Secret，而无需解密和重新加密文件的常见麻烦。

为了完成该设置，SOPS 非常详细地管理存储库和文件权限。访问一个文件并不一定意味着访问整个存储库。该工具可让您非常细致地管理对存储库上的 Secret 和加密配置文件的访问。

使用 Mozilla Secrets OPerationS 管理 Kubernetes Secrets 非常简单。该工具提供的功能和命令可以更好地管理和共享机密，而不会增加安全风险。虽然还有其他工具旨在简化 Secret 管理，但 Mozilla SOPS 在高级控制和可用性之间提供了适当的平衡；如果您想更好地管理 Secrets，它绝对是一个值得研究的工具。