Kubernetes Secrets加密与密钥轮换实践

---

title: Kubernetes Secrets加密与密钥轮换实践

keywords:

• Secrets
• EncryptionConfiguration
• KMS
• 密钥轮换
• etcd加密

description: 在Kubernetes中启用Secrets加密（包括KMS）并进行密钥轮换，提供可验证的配置与步骤，保障敏感数据安全。

date: 2025-11-26

categories:

• 文章资讯
• 技术教程

---

概述

• 目标：对存储在etcd中的Secrets进行加密，并建立密钥轮换流程以降低泄露风险，满足合规要求。
• 适用：生产集群、包含敏感配置的工作负载。

核心与实战

• EncryptionConfiguration示例（AES与KMS）：

apiVersion: apiserver.config.k8s.io/v1
kind: EncryptionConfiguration
resources:
  - resources: ["secrets"]
    providers:
      - kms:
          name: my-kms
          endpoint: unix:///var/run/kms-provider.sock
          cachesize: 1000
      - aescbc:
          keys:
            - name: key1
              secret: 32-byte-base64==
      - identity: {}

• 启用加密：

-- 在API Server启动参数中添加：
--encryption-provider-config=/etc/kubernetes/encryption-config.yaml

• 密钥轮换流程：

1) 生成新密钥并添加为列表首位（aescbc.keys[0]）或更新KMS密钥
2) 重启API Server使新密钥生效
3) 触发资源重加密：
   kubectl get secrets -A -o json | kubectl replace -f -

示例

• 验证加密：

ETCDCTL_API=3 etcdctl --endpoints=127.0.0.1:2379 get /registry/secrets/prod/web --hex | head
-- 期望：存储内容不可读（密文）

• KMS提供者：

-- 使用外部KMS（如Vault或云KMS）实现密钥托管与审计

验证与监控

• API Server健康：
• 观察加密提供者加载日志与错误；确保轮换后正常服务。
• 重加密进度：
• 统计Secrets更新数量与失败重试；在低峰进行操作。
• 审计：
• 记录密钥更改与轮换时间；外部KMS提供审计日志。

常见误区

• 未进行重加密导致旧密钥仍在etcd；需replace流程。
• 把identity置于首位导致未加密；正确顺序应优先KMS/AEAD。
• 在高峰进行轮换导致性能抖动；需低峰并分批。

结语

• 通过EncryptionConfiguration与KMS提供者加密Secrets并建立轮换流程，可显著提升集群敏感数据的安全与合规。