在容器服务 ACK 集群中,可以通过 ack-secret-manager、csi-secrets-store-provider-alibabacloud 和 ack-kms-agent-webhook-injector 三种组件,从密钥管理服务 KMS 获取托管凭据。三种组件在适用集群版本和接入方式上有所差异,请根据业务需求选择合适的组件。
组件介绍
ack-secret-manager:支持以Kubernetes Secret的形式向集群导入或同步KMS凭据信息,确保集群内应用能够安全访问敏感数据。工作负载可通过文件系统挂载指定Secret实例,以使用凭据信息。
csi-secrets-store-provider-alibabacloud:支持以Kubernetes Secret的形式向集群导入或同步KMS凭据信息,确保集群内应用能够安全访问敏感数据;还支持通过CSI Inline的形式将凭据密钥作为文件系统直接挂载到应用中,适用于通过文件系统接口(如读取文件)来获取敏感信息的应用。
ack-kms-agent-webhook-injector:将 KMS Agent 作为Sidecar容器注入Pod,使业务应用可通过本地HTTP接口,借助KMS Agent从KMS实例获取凭据并缓存于内存中,避免敏感信息硬编码,提升数据安全性。
使用场景
组件 | 适用的集群 | 使用说明 | 相关操作 |
ack-secret-manager |
| 支持Secret同步和更新。 | |
csi-secrets-store-provider-alibabacloud | 1.20及以上版本的集群:
|
| |
ack-kms-agent-webhook-injector | 1.22及以上版本的集群:
|
|
相关计费
ack-secret-manager和csi-secrets-store-provider-alibabacloud安装使用免费,但安装后将占用Worker节点资源。安装组件时可配置各模块的资源申请量。
使用KMS凭据管家会产生费用,请参见产品计费。