前言
在現代容器化應用的開發與部署流程中,敏感資料的妥善管理始終是資訊安全的核心議題。無論是資料庫連線憑證、API 金鑰、TLS 證書,或是第三方服務的存取令牌,這些機敏資訊若處理不當,都可能成為系統遭受攻擊的突破口。Kubernetes 作為當前最主流的容器編排平台,提供了 Secrets 機制來處理這類敏感資料,然而原生的 Secrets 功能在企業級應用場景中仍存在諸多限制與挑戰。
Kubernetes Secrets 的基本設計理念是將敏感資訊與應用程式配置分離,避免將密碼硬編碼在容器映像檔或配置檔中。這種分離機制確實提升了安全性的基礎水準,但在實際部署環境中,我們會發現 Secrets 預設僅提供靜態加密儲存,缺乏動態密碼產生、自動輪替、細緻的存取權限控管,以及完整的稽核追蹤等企業級功能。這些限制促使許多組織在 Kubernetes 原生機制之外,尋求更完善的密碼管理解決方案。
本文將從 Kubernetes Secrets 的基礎架構出發,深入探討密碼管理的各個面向,包括建立、儲存、存取、輪替、備份與災難復原等完整生命週期管理。我們會詳細介紹如何整合 HashiCorp Vault 與 CyberArk Conjur 等商業級密碼管理平台,提升整體安全性與管理效率。同時也會探討備份策略的最佳實踐,以及如何透過自動化工具降低人為疏失的風險。最後,我們將展望 Kubernetes 密碼管理的未來發展趨勢,協助讀者建立符合 DevSecOps 文化的安全架構。
Kubernetes Secrets 基礎架構與運作原理
Kubernetes Secrets 的核心設計目標是提供一個專門儲存敏感資訊的資源物件,透過與 Pod 的整合機制,讓應用程式能夠安全地取得所需的憑證與金鑰。在深入探討進階管理技巧之前,我們需要先理解 Secrets 在 Kubernetes 架構中的定位與運作方式。
當我們在 Kubernetes 叢集中建立一個 Secret 物件時,這些資料會被儲存在 etcd 分散式鍵值資料庫中。etcd 是 Kubernetes 的核心資料儲存層,負責保存叢集的所有狀態資訊。雖然 Kubernetes 提供了靜態加密功能來保護 etcd 中的資料,但這項功能預設並未啟用,需要管理者手動配置加密提供者。這意味著在預設情況下,Secrets 雖然經過 Base64 編碼,但實際上是以明文形式儲存在 etcd 中,這對於高度重視資安的環境來說顯然不夠安全。
Kubernetes 支援多種加密提供者來保護 etcd 中的敏感資料。最常見的包括 aescbc、aesgcm 以及整合外部金鑰管理系統的 kms 提供者。aescbc 使用 AES 演算法配合 CBC 模式進行加密,提供基本的加密保護。aesgcm 則採用 AES-GCM 演算法,除了加密之外還提供資料完整性驗證,能夠偵測資料是否遭到竄改。而 kms 提供者則允許整合如 AWS KMS、Azure Key Vault 或 Google Cloud KMS 等雲端金鑰管理服務,將加密金鑰的管理委託給專業的雲端平台,進一步提升安全性並簡化金鑰生命週期管理。
在應用程式層面,Kubernetes 提供了兩種主要方式讓 Pod 存取 Secrets 資料。第一種是將 Secrets 掛載為檔案系統中的檔案,透過 Volume 機制掛載到容器內的指定路徑。當 Secret 內容更新時,Kubernetes 會自動更新掛載的檔案內容,讓應用程式能夠取得最新的憑證資訊。第二種方式是將 Secrets 注入為環境變數,這種方法使用上較為簡便,但需要注意環境變數在容器啟動後無法動態更新,如果 Secret 內容變更,必須重新啟動 Pod 才能生效。
Secrets 的存取權限控制透過 Kubernetes 的 RBAC 機制來實現。透過定義 Role 與 RoleBinding,我們可以精確控制哪些 ServiceAccount 能夠讀取、建立或修改特定的 Secrets。這種基於角色的存取控制提供了基本的權限管理功能,但在大規模叢集或複雜組織架構中,仍需要更細緻的權限劃分與稽核機制來滿足合規性要求。
以下的架構圖展示了 Kubernetes Secrets 在叢集中的運作流程,從建立到最終被 Pod 存取的完整路徑:
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100
package "Kubernetes 控制平面" {
[API Server] as API
database "etcd\n(加密儲存)" as ETCD
}
package "工作節點" {
[Kubelet] as KUBELET
package "Pod" {
[應用容器] as APP
[Secret Volume] as VOL
}
}
actor "管理者" as ADMIN
ADMIN --> API : 建立 Secret
API --> ETCD : 加密寫入
KUBELET --> API : 請求 Secret
API --> KUBELET : 回傳解密資料
KUBELET --> VOL : 掛載 Secret
APP --> VOL : 讀取憑證
@enduml這個架構圖清楚呈現了 Secrets 的生命週期。管理者透過 API Server 建立 Secret 物件,API Server 將資料加密後寫入 etcd。當 Pod 需要使用 Secret 時,Kubelet 向 API Server 請求對應的 Secret 資料,API Server 解密後回傳給 Kubelet,最後 Kubelet 將 Secret 掛載到 Pod 中供應用容器使用。整個過程中,資料在靜態儲存與傳輸過程中都應該受到適當的加密保護。
理解這個基礎架構後,我們可以發現 Kubernetes 原生 Secrets 的幾個關鍵限制。首先是缺乏自動化的密碼輪替機制,管理者必須手動更新 Secret 內容並重新部署相關的 Pod。其次是稽核功能相對薄弱,雖然可以透過 API Server 的稽核日誌追蹤 Secrets 的存取記錄,但缺乏更細緻的稽核報表與告警機制。最後是版本控制功能不足,當 Secret 內容被更新時,無法輕易回溯到先前的版本,這在發生配置錯誤時可能造成困擾。這些限制促使我們在實務應用中,往往需要整合外部的密碼管理系統來補足這些缺口。
企業級密碼管理解決方案:HashiCorp Vault
當 Kubernetes 原生的 Secrets 機制無法滿足企業級應用的需求時,HashiCorp Vault 成為最受歡迎的解決方案之一。Vault 是一個專為現代化基礎設施設計的密碼管理平台,提供動態密碼產生、租期管理、細緻權限控制與完整稽核等進階功能。透過將 Vault 整合到 Kubernetes 環境中,我們可以大幅提升密碼管理的安全性與自動化程度。
Vault 的核心設計理念之一是動態密碼的概念。傳統的靜態密碼一旦建立就長期存在,即使定期輪替也存在一定的時間窗口風險。Vault 則採用動態產生的方式,當應用程式需要存取資料庫時,Vault 會即時產生一組具有時效性的臨時憑證,在指定的租期結束後自動失效。這種方式大幅縮短了憑證的有效期限,即使憑證外洩,攻擊者也只能在極短的時間內利用,有效降低了安全風險。
在 Kubernetes 環境中部署 Vault 最常見的方式是使用 Helm Chart。Helm 是 Kubernetes 的套件管理工具,能夠簡化複雜應用的部署流程。透過官方提供的 Vault Helm Chart,我們可以快速建立一個高可用性的 Vault 叢集,包含多個 Vault Server 實例與自動化的備援機制。以下是基本的安裝指令:
# 新增 HashiCorp 的 Helm Repository
helm repo add hashicorp https://helm.releases.hashicorp.com
# 更新 Helm Repository 索引
helm repo update
# 安裝 Vault,啟用 Vault Agent Injector
helm install vault hashicorp/vault \
--set "server.ha.enabled=true" \
--set "server.ha.replicas=3" \
--set "injector.enabled=true" \
--set "ui.enabled=true"
這個安裝指令會部署一個包含三個 Server 副本的高可用性 Vault 叢集,同時啟用 Vault Agent Injector 與 Web UI 介面。高可用性配置確保即使部分節點故障,Vault 服務仍能持續運作,不會影響應用程式的正常存取。
Vault Agent Injector 是整合 Vault 與 Kubernetes 的關鍵元件。它是一個 Kubernetes Admission Controller,能夠自動為 Pod 注入 Vault Agent Sidecar 容器。這個 Sidecar 容器負責向 Vault 進行身份驗證、取得應用程式所需的密碼,並將密碼寫入到 Pod 內的共享檔案系統中。整個過程對應用程式來說完全透明,應用程式只需要從指定路徑讀取檔案即可取得最新的憑證,不需要直接與 Vault API 互動。
要讓 Pod 能夠使用 Vault Agent Injector,我們需要在 Pod 的 metadata 中加入特定的 annotations。以下是一個完整的範例:
apiVersion: apps/v1
kind: Deployment
metadata:
name: web-application
labels:
app: web
spec:
replicas: 2
selector:
matchLabels:
app: web
template:
metadata:
labels:
app: web
annotations:
# 啟用 Vault Agent Injector
vault.hashicorp.com/agent-inject: "true"
# 指定 Vault 角色
vault.hashicorp.com/role: "web-app"
# 定義要注入的密碼路徑與檔案名稱
vault.hashicorp.com/agent-inject-secret-database: "database/creds/web-app-role"
# 指定密碼注入後的檔案路徑
vault.hashicorp.com/agent-inject-file-database: "db-credentials.txt"
# 設定密碼的範本格式
vault.hashicorp.com/agent-inject-template-database: |
{{- with secret "database/creds/web-app-role" -}}
username: {{ .Data.username }}
password: {{ .Data.password }}
{{- end }}
spec:
serviceAccountName: web-app
containers:
- name: web
image: nginx:latest
ports:
- containerPort: 80
# 應用程式從 /vault/secrets/ 路徑讀取密碼檔案
volumeMounts:
- name: secrets
mountPath: /vault/secrets
readOnly: true
volumes:
- name: secrets
emptyDir: {}
在這個範例中,我們透過 annotations 告訴 Vault Agent Injector 要注入哪些密碼,以及如何格式化這些密碼。Vault Agent 會自動向 Vault Server 請求 database/creds/web-app-role 路徑下的動態憑證,並根據指定的範本將使用者名稱與密碼寫入到 /vault/secrets/db-credentials.txt 檔案中。應用程式只需要讀取這個檔案即可取得資料庫連線所需的憑證。
要讓這個機制正常運作,我們還需要在 Vault 中建立對應的策略與角色。Vault 的策略定義了哪些路徑可以被存取,以及允許的操作類型。以下是建立策略的範例:
# 建立 Vault 策略檔案
cat > web-app-policy.hcl <<EOF
# 允許讀取資料庫動態憑證
path "database/creds/web-app-role" {
capabilities = ["read"]
}
# 允許更新憑證租期
path "sys/leases/renew" {
capabilities = ["update"]
}
EOF
# 將策略寫入 Vault
vault policy write web-app web-app-policy.hcl
# 建立 Kubernetes 認證角色,綁定策略與 ServiceAccount
vault write auth/kubernetes/role/web-app \
bound_service_account_names=web-app \
bound_service_account_namespaces=default \
policies=web-app \
ttl=24h \
max_ttl=72h
這段配置建立了一個名為 web-app 的策略,允許讀取資料庫憑證並更新租期。接著透過 auth/kubernetes/role/web-app 角色將這個策略綁定到 Kubernetes 的 web-app ServiceAccount 上。當 Pod 使用這個 ServiceAccount 時,Vault Agent 就能夠以這個身份向 Vault 進行認證,並取得對應的權限。
Vault 的動態密碼產生功能需要配合資料庫引擎使用。以 PostgreSQL 為例,我們需要先在 Vault 中啟用資料庫引擎,並配置連線資訊:
# 啟用資料庫引擎
vault secrets enable database
# 配置 PostgreSQL 連線
vault write database/config/postgresql \
plugin_name=postgresql-database-plugin \
allowed_roles="web-app-role" \
connection_url="postgresql://{{username}}:{{password}}@postgres.default.svc.cluster.local:5432/myapp?sslmode=require" \
username="vault-admin" \
password="secure-password"
# 建立資料庫角色,定義動態憑證的權限
vault write database/roles/web-app-role \
db_name=postgresql \
creation_statements="CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}'; \
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO \"{{name}}\";" \
default_ttl="1h" \
max_ttl="24h"
完成這些配置後,當應用程式透過 Vault Agent 請求憑證時,Vault 會自動在 PostgreSQL 中建立一個臨時使用者,並將憑證資訊回傳給應用程式。這個臨時使用者預設有效期為一小時,到期後 Vault 會自動刪除該使用者,確保憑證不會長期存在。
以下的架構圖展示了 Vault 與 Kubernetes 整合的完整流程:
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100
actor "開發者" as DEV
package "Kubernetes 叢集" {
[API Server] as API
package "應用程式 Pod" {
[Vault Agent\nSidecar] as AGENT
[應用容器] as APP
[共享檔案系統] as FS
}
}
package "Vault 叢集" {
[Vault Server] as VAULT
database "加密儲存" as STORAGE
}
database "PostgreSQL\n資料庫" as DB
DEV --> API : 部署 Pod
API --> AGENT : 注入 Sidecar
AGENT --> VAULT : 使用 ServiceAccount 認證
VAULT --> DB : 建立臨時使用者
DB --> VAULT : 回傳憑證
VAULT --> AGENT : 提供動態憑證
AGENT --> FS : 寫入密碼檔案
APP --> FS : 讀取憑證
APP --> DB : 使用憑證連線
@enduml這個流程圖清楚呈現了從開發者部署應用程式,到應用程式最終取得動態憑證並連線資料庫的完整過程。Vault Agent Sidecar 作為中介層,負責處理所有與 Vault 相關的認證與密碼取得邏輯,讓應用程式能夠專注於業務邏輯,不需要直接處理複雜的密碼管理細節。
HashiCorp Vault 的整合為 Kubernetes 環境帶來了企業級的密碼管理能力,包含動態密碼產生、自動化租期管理、細緻的存取控制與完整的稽核追蹤。這些功能大幅提升了安全性,同時也簡化了密碼管理的維運工作,讓開發團隊能夠更專注於應用程式的開發與優化。
商業級解決方案:CyberArk Conjur
除了 HashiCorp Vault 之外,CyberArk Conjur 是另一個在企業環境中廣泛採用的密碼管理平台。CyberArk 在特權存取管理領域擁有深厚的背景,Conjur 則是專為雲端原生應用與 DevOps 流程設計的密碼管理解決方案。相較於 Vault 的開放性與彈性,Conjur 更強調與企業既有身份驗證系統的深度整合,以及符合嚴格合規性要求的稽核機制。
Conjur 的核心優勢在於其集中式的密碼管理架構。在大型企業環境中,往往存在多個 Kubernetes 叢集分散在不同的雲端平台或資料中心,每個叢集可能使用不同的密碼管理策略。Conjur 提供了一個統一的控制平面,讓管理者能夠從單一介面管理所有環境中的密碼,確保策略的一致性與可控性。這種集中式管理對於需要滿足嚴格合規性要求的金融、醫療等產業特別重要。
Conjur 與 Kubernetes 的整合方式與 Vault 類似,也是透過 Sidecar 容器來提供密碼注入功能。Conjur 提供了官方的 Kubernetes Authenticator,能夠透過 ServiceAccount Token 進行身份驗證,並根據預先定義的策略提供對應的密碼存取權限。以下是部署 Conjur 到 Kubernetes 叢集的基本流程:
# 建立 Conjur 專用的 Namespace
kubectl create namespace conjur
# 部署 Conjur Follower(用於 Kubernetes 叢集內的密碼分發)
kubectl apply -f conjur-follower-deployment.yaml
# 配置 Conjur Authenticator
kubectl apply -f conjur-authenticator-configmap.yaml
Conjur 的策略定義採用 YAML 格式,透過宣告式的方式定義身份、資源與權限的關聯。以下是一個典型的 Conjur 策略範例:
# Conjur 策略定義
- !policy
id: kubernetes-cluster
body:
# 定義應用程式身份
- !host
id: web-application
annotations:
kubernetes/namespace: default
kubernetes/service-account: web-app
kubernetes/authentication-container-name: authenticator
# 定義密碼變數
- !variable
id: database/username
- !variable
id: database/password
# 授予應用程式讀取密碼的權限
- !grant
role: !host web-application
privileges: [ read, execute ]
resource: !variable database/username
- !grant
role: !host web-application
privileges: [ read, execute ]
resource: !variable database/password
這個策略定義了一個名為 web-application 的主機身份,並將其與 Kubernetes 的 ServiceAccount 關聯。接著定義了兩個密碼變數,並透過 grant 陳述式授予應用程式讀取這些密碼的權限。Conjur 的策略語法相較於 Vault 更為結構化,適合透過版本控制系統管理,也更容易進行自動化部署。
在應用程式 Pod 中使用 Conjur 需要加入 Secretless Broker 或 Authenticator Sidecar。Secretless Broker 是一個更進階的方案,它能夠攔截應用程式的資料庫連線請求,自動注入從 Conjur 取得的憑證,讓應用程式完全不需要處理密碼相關的邏輯。以下是使用 Secretless Broker 的 Pod 配置範例:
apiVersion: apps/v1
kind: Deployment
metadata:
name: web-application
namespace: default
spec:
replicas: 2
selector:
matchLabels:
app: web
template:
metadata:
labels:
app: web
spec:
serviceAccountName: web-app
containers:
# 應用容器
- name: web
image: myapp:latest
ports:
- containerPort: 8080
env:
# 應用程式連線到本地的 Secretless Broker
- name: DATABASE_URL
value: "postgresql://localhost:5432/myapp"
# Secretless Broker Sidecar
- name: secretless
image: cyberark/secretless-broker:latest
args: ["-f", "/etc/secretless/secretless.yml"]
volumeMounts:
- name: config
mountPath: /etc/secretless
readOnly: true
# Conjur 連線配置
env:
- name: CONJUR_APPLIANCE_URL
value: "https://conjur.example.com"
- name: CONJUR_ACCOUNT
value: "myorg"
- name: CONJUR_AUTHN_LOGIN
value: "host/kubernetes-cluster/web-application"
volumes:
- name: config
configMap:
name: secretless-config
Secretless Broker 的配置檔定義了如何處理資料庫連線請求:
version: "2"
services:
# PostgreSQL 連線代理
postgres:
connector: pg
listenOn: tcp://0.0.0.0:5432
credentials:
# 從 Conjur 取得憑證
username:
from: conjur
get: kubernetes-cluster/database/username
password:
from: conjur
get: kubernetes-cluster/database/password
host:
from: literal
value: postgres.database.svc.cluster.local
port:
from: literal
value: "5432"
sslmode:
from: literal
value: require
透過這個配置,Secretless Broker 會監聽本地的 5432 埠,當應用程式嘗試連線時,自動從 Conjur 取得最新的憑證並建立到實際資料庫的連線。應用程式只需要連線到 localhost:5432,完全不需要知道實際的資料庫憑證,大幅降低了憑證外洩的風險。
Conjur 另一個重要特色是其完整的稽核機制。所有對密碼的存取請求都會被詳細記錄,包含請求的時間、來源身份、存取的資源與操作結果。這些稽核日誌可以匯出到 SIEM 系統進行分析,滿足各種合規性要求。以下是 Conjur 稽核日誌的範例:
{
"timestamp": "2025-11-24T10:30:45.123Z",
"severity": "info",
"operation": "fetch",
"resource": "kubernetes-cluster:variable:database/password",
"role": "host:kubernetes-cluster/web-application",
"client_ip": "10.244.1.5",
"result": "success",
"message": "密碼已成功提供給應用程式"
}
Conjur 的高可用性架構透過 Master-Standby 複寫機制實現。主要的 Conjur Master 節點負責處理所有寫入操作,並將資料即時複寫到多個 Standby 節點。在 Kubernetes 叢集內部,通常會部署 Conjur Follower 作為密碼分發的本地快取,減少對中央 Master 的依賴,同時提升存取效能與可靠性。
以下架構圖展示了 Conjur 在多叢集環境中的部署架構:
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100
cloud "企業資料中心" {
package "Conjur 主叢集" {
[Conjur Master] as MASTER
[Conjur Standby 1] as STANDBY1
[Conjur Standby 2] as STANDBY2
database "策略與密碼儲存" as DB
}
}
cloud "AWS 雲端環境" {
package "Kubernetes 叢集 A" {
[Conjur Follower A] as FOLLOWER_A
[應用程式 Pod A] as POD_A
}
}
cloud "Azure 雲端環境" {
package "Kubernetes 叢集 B" {
[Conjur Follower B] as FOLLOWER_B
[應用程式 Pod B] as POD_B
}
}
MASTER --> DB : 讀寫策略與密碼
MASTER --> STANDBY1 : 即時複寫
MASTER --> STANDBY2 : 即時複寫
FOLLOWER_A --> MASTER : 同步密碼與策略
FOLLOWER_B --> MASTER : 同步密碼與策略
POD_A --> FOLLOWER_A : 請求密碼
POD_B --> FOLLOWER_B : 請求密碼
@enduml這個架構圖呈現了 Conjur 的多層級部署模式。中央的 Conjur Master 叢集負責策略管理與密碼儲存,透過 Standby 節點提供高可用性。在各個 Kubernetes 叢集中部署的 Conjur Follower 作為本地代理,定期與 Master 同步最新的策略與密碼,並為叢集內的應用程式提供快速的密碼存取服務。這種分散式架構確保即使中央 Master 暫時無法連線,本地 Follower 仍能繼續提供密碼服務,不會影響應用程式的正常運作。
CyberArk Conjur 特別適合大型企業環境,其集中式管理、深度整合企業身份系統、完整的稽核追蹤與符合各種合規性標準的特性,使其成為金融、醫療、政府等高度管制產業的首選密碼管理方案。透過 Secretless Broker 等進階功能,更能夠在不修改應用程式程式碼的前提下,大幅提升密碼管理的安全性與便利性。
密碼備份與災難復原策略
無論採用何種密碼管理方案,完善的備份與災難復原策略都是確保業務持續性的關鍵。密碼資料的遺失可能導致整個應用程式無法存取關鍵資源,造成嚴重的服務中斷。因此,建立多層次的備份機制,並定期演練災難復原流程,是企業級 Kubernetes 部署中不可或缺的一環。
Kubernetes Secrets 的備份需要考慮多個面向。最基本的方式是直接備份 etcd 資料庫,因為所有 Kubernetes 資源的狀態都儲存在 etcd 中。透過定期對 etcd 進行快照備份,我們可以在災難發生時完整還原整個叢集的狀態,包含所有的 Secrets。etcd 提供了內建的快照功能,以下是建立快照的指令:
# 建立 etcd 快照
ETCDCTL_API=3 etcdctl snapshot save /backup/etcd-snapshot-$(date +%Y%m%d-%H%M%S).db \
--endpoints=https://127.0.0.1:2379 \
--cacert=/etc/kubernetes/pki/etcd/ca.crt \
--cert=/etc/kubernetes/pki/etcd/server.crt \
--key=/etc/kubernetes/pki/etcd/server.key
# 驗證快照完整性
ETCDCTL_API=3 etcdctl snapshot status /backup/etcd-snapshot-*.db \
--write-out=table
# 從快照還原 etcd(災難復原時使用)
ETCDCTL_API=3 etcdctl snapshot restore /backup/etcd-snapshot-20251124-103000.db \
--data-dir=/var/lib/etcd-restored
然而,直接操作 etcd 快照需要較高的技術門檻,且還原過程較為複雜。對於大多數使用場景,我們建議採用專門的 Kubernetes 備份工具,如 Velero。Velero 是一個開源的 Kubernetes 叢集備份與遷移工具,支援定期自動備份、選擇性資源備份與跨叢集還原等功能。
Velero 的安裝與配置相當直觀。以 AWS S3 作為備份儲存為例:
# 下載並安裝 Velero CLI
wget https://github.com/vmware-tanzu/velero/releases/download/v1.12.0/velero-v1.12.0-linux-amd64.tar.gz
tar -xvf velero-v1.12.0-linux-amd64.tar.gz
sudo mv velero-v1.12.0-linux-amd64/velero /usr/local/bin/
# 建立 AWS S3 儲存桶
aws s3 mb s3://my-kubernetes-backups --region ap-northeast-1
# 建立 IAM 使用者並設定權限(省略詳細步驟)
# 將存取金鑰儲存到檔案
cat > credentials-velero <<EOF
[default]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
EOF
# 安裝 Velero 到 Kubernetes 叢集
velero install \
--provider aws \
--plugins velero/velero-plugin-for-aws:v1.8.0 \
--bucket my-kubernetes-backups \
--backup-location-config region=ap-northeast-1 \
--snapshot-location-config region=ap-northeast-1 \
--secret-file ./credentials-velero \
--use-volume-snapshots=false
安裝完成後,我們可以建立備份排程,定期自動備份整個叢集或特定 Namespace 的資源:
# 建立每日備份排程,保留 30 天
velero schedule create daily-backup \
--schedule="0 2 * * *" \
--ttl 720h0m0s \
--include-namespaces default,production
# 手動觸發一次性備份,僅備份 Secrets
velero backup create secrets-backup \
--include-resources secrets \
--include-namespaces default,production
# 檢視備份狀態
velero backup get
# 從備份還原資源
velero restore create --from-backup daily-backup-20251124020000
Velero 的備份機制不僅包含資源定義,也支援持久化儲存卷的快照備份。透過整合雲端平台的快照功能,Velero 能夠同時備份應用程式狀態與資料,確保災難復原的完整性。
對於使用 HashiCorp Vault 的環境,Vault 本身也提供了完整的備份機制。Vault 的資料儲存在後端儲存系統中,如 Consul、etcd 或雲端物件儲存。最簡單的備份方式是使用 Vault 的快照功能:
# 建立 Vault 快照(需要 root 或具備 sys/storage/raft/snapshot 權限的 token)
vault operator raft snapshot save vault-snapshot-$(date +%Y%m%d-%H%M%S).snap
# 檢視快照資訊
vault operator raft snapshot inspect vault-snapshot-*.snap
# 從快照還原 Vault
vault operator raft snapshot restore vault-snapshot-20251124-103000.snap
對於使用 Integrated Storage Raft 後端的 Vault 部署,快照會包含所有的密碼資料、策略配置與稽核日誌。建議將快照檔案加密後儲存到安全的遠端位置,並定期測試還原流程以確保備份的可用性。
地理複寫是進階的災難復原策略,透過在不同地理位置維護多個資料副本,即使整個資料中心發生災難,仍能從其他地點快速復原服務。對於關鍵業務系統,建議採用跨區域的備份架構:
@startuml
!define PLANTUML_FORMAT svg
!theme _none_
skinparam dpi auto
skinparam shadowing false
skinparam linetype ortho
skinparam roundcorner 5
skinparam defaultFontName "Microsoft JhengHei UI"
skinparam defaultFontSize 16
skinparam minClassWidth 100
cloud "台北資料中心" as DC1 {
package "主要 Kubernetes 叢集" {
[etcd 叢集] as ETCD1
[Vault 主節點] as VAULT1
}
database "本地備份\n儲存" as BACKUP1
}
cloud "新加坡資料中心" as DC2 {
package "災難復原叢集" {
[etcd 副本] as ETCD2
[Vault 備用節點] as VAULT2
}
database "遠端備份\n儲存" as BACKUP2
}
cloud "AWS S3 跨區域複寫" as S3 {
[台北區域] as S3_TP
[新加坡區域] as S3_SG
}
ETCD1 --> BACKUP1 : 每小時快照
VAULT1 --> BACKUP1 : 每小時快照
BACKUP1 --> S3_TP : 上傳加密快照
S3_TP --> S3_SG : 跨區域自動複寫
ETCD1 -.-> ETCD2 : 即時複寫
VAULT1 -.-> VAULT2 : 即時複寫
BACKUP2 --> S3_SG : 定期下載快照
@enduml這個架構圖展示了多層次的備份策略。主要資料中心的 etcd 與 Vault 定期建立快照並上傳到雲端物件儲存,透過跨區域複寫功能自動同步到災難復原站點。同時,關鍵資料透過即時複寫機制同步到遠端叢集,確保在主站點發生災難時,可以快速切換到災難復原站點繼續提供服務。
除了技術層面的備份機制,定期的災難復原演練同樣重要。建議每季度至少執行一次完整的災難復原演練,測試從備份還原整個叢集的流程,並記錄還原所需的時間與遇到的問題。這不僅能夠驗證備份的有效性,也能夠讓維運團隊熟悉災難復原的操作步驟,在真正發生災難時能夠快速且正確地執行復原作業。
密碼備份的安全性也需要特別注意。備份檔案中包含大量敏感資訊,必須採用強加密演算法保護,並嚴格控制存取權限。建議使用硬體安全模組或雲端金鑰管理服務來管理備份加密金鑰,確保即使備份檔案外洩,攻擊者也無法解密取得實際的密碼內容。同時,備份檔案的傳輸過程也應該使用加密通道,避免在網路傳輸過程中被攔截。
密碼安全性最佳實踐
建立完善的密碼管理機制後,我們還需要遵循一系列安全性最佳實踐,才能真正確保 Kubernetes 環境的安全穩固。這些實踐涵蓋存取控制、密碼輪替、安全稽核與合規性檢查等多個面向,需要透過技術手段與管理流程的結合來實現。
首要的安全原則是最小權限原則。在 Kubernetes 環境中,這意味著每個 ServiceAccount 只應該被授予完成其任務所需的最小權限集合。透過 RBAC 機制,我們可以精確定義哪些 ServiceAccount 能夠存取哪些 Secrets。以下是一個遵循最小權限原則的 RBAC 配置範例:
# 定義角色:僅允許讀取特定 Secret
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: database-secret-reader
namespace: production
rules:
# 只允許讀取名為 database-credentials 的 Secret
- apiGroups: [""]
resources: ["secrets"]
resourceNames: ["database-credentials"]
verbs: ["get"]
---
# 將角色綁定到特定的 ServiceAccount
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: web-app-database-access
namespace: production
subjects:
# 只授權給 web-app 這個 ServiceAccount
- kind: ServiceAccount
name: web-app
namespace: production
roleRef:
kind: Role
name: database-secret-reader
apiGroup: rbac.authorization.k8s.io
這個配置確保 web-app ServiceAccount 只能讀取 database-credentials 這個特定的 Secret,無法存取其他 Secrets,也無法進行建立、修改或刪除等操作。這種細緻的權限控制大幅降低了權限濫用的風險。
定期輪替密碼是另一個關鍵的安全實踐。長期不變的密碼一旦外洩,可能造成長期的安全風險。透過定期更換密碼,即使舊密碼外洩,其有效期限也被限制在輪替週期內。對於使用 HashiCorp Vault 的環境,可以透過 Vault 的租期機制自動化密碼輪替:
# 配置資料庫角色的預設租期為 1 小時,最長 24 小時
vault write database/roles/web-app-role \
db_name=postgresql \
creation_statements="CREATE ROLE \"{{name}}\" WITH LOGIN PASSWORD '{{password}}' VALID UNTIL '{{expiration}}';" \
default_ttl="1h" \
max_ttl="24h" \
rotation_period="6h"
這個配置使得應用程式每次請求資料庫憑證時,都會取得一個僅有 1 小時有效期的臨時憑證。即使這個憑證外洩,攻擊者也只能在極短的時間內利用。同時,Vault 每 6 小時會自動輪替靜態密碼,進一步降低風險。
對於無法使用動態密碼的場景,我們可以透過自動化腳本定期輪替 Kubernetes Secrets。以下是一個簡單的輪替腳本範例:
#!/bin/bash
# Kubernetes Secret 自動輪替腳本
# 設定變數
SECRET_NAME="database-credentials"
NAMESPACE="production"
NEW_PASSWORD=$(openssl rand -base64 32)
# 產生新的 Secret YAML
cat > updated-secret.yaml <<EOF
apiVersion: v1
kind: Secret
metadata:
name: ${SECRET_NAME}
namespace: ${NAMESPACE}
annotations:
# 記錄輪替時間
rotated-at: "$(date -Iseconds)"
rotated-by: "automated-rotation-script"
type: Opaque
stringData:
username: dbuser
password: ${NEW_PASSWORD}
EOF
# 更新資料庫密碼(此處應調用實際的資料庫管理 API)
# update_database_password "dbuser" "${NEW_PASSWORD}"
# 套用新的 Secret
kubectl apply -f updated-secret.yaml
# 觸發使用此 Secret 的 Pod 重新啟動,載入新密碼
kubectl rollout restart deployment/web-application -n ${NAMESPACE}
# 記錄輪替事件到日誌系統
echo "[$(date -Iseconds)] Secret ${SECRET_NAME} rotated successfully" | \
logger -t secret-rotation
# 清理臨時檔案
rm -f updated-secret.yaml
echo "密碼輪替完成"
這個腳本產生新的隨機密碼、更新 Kubernetes Secret、同步更新實際的資料庫密碼,並觸發應用程式重新部署以載入新密碼。透過將此腳本加入定期執行的排程任務,可以實現自動化的密碼輪替。
安全稽核是確保密碼管理政策被正確執行的重要手段。Kubernetes API Server 提供了完整的稽核日誌功能,能夠記錄所有對 Secrets 的存取操作。以下是啟用 Secrets 稽核的配置:
# API Server 稽核策略配置
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
# 記錄所有對 Secrets 的請求
- level: RequestResponse
resources:
- group: ""
resources: ["secrets"]
# 排除系統級 ServiceAccount 的存取(減少日誌量)
omitStages:
- RequestReceived
# 記錄 Secrets 的建立、更新與刪除操作
- level: Metadata
verbs: ["create", "update", "patch", "delete"]
resources:
- group: ""
resources: ["secrets"]
稽核日誌會記錄每次 Secret 存取的詳細資訊,包含請求者的身份、存取的 Secret 名稱、操作類型與時間戳記。這些日誌應該定期匯出到集中式日誌系統,如 Elasticsearch 或雲端日誌服務,並透過自動化告警機制監控異常的存取模式。
容器映像檔的安全掃描也是不可忽略的環節。即使密碼管理做得再好,如果容器映像檔本身存在漏洞,攻擊者仍可能透過漏洞入侵系統並竊取密碼。Trivy 是一個流行的開源容器安全掃描工具,能夠偵測映像檔中的已知漏洞、錯誤配置與敏感資訊洩漏。以下是使用 Trivy 掃描的範例:
# 安裝 Trivy
curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | \
sh -s -- -b /usr/local/bin v0.48.0
# 掃描容器映像檔
trivy image --severity HIGH,CRITICAL nginx:latest
# 掃描映像檔中的敏感資訊(如硬編碼密碼)
trivy image --scanners secret nginx:latest
# 掃描 Kubernetes 叢集配置
trivy k8s --report summary cluster
Trivy 能夠偵測映像檔中是否包含已知的 CVE 漏洞,也能夠發現程式碼中硬編碼的密碼、API 金鑰等敏感資訊。建議將 Trivy 整合到 CI/CD 流程中,在映像檔建置階段就進行掃描,發現問題時自動阻止映像檔的部署。
網路層面的安全控制同樣重要。透過 Kubernetes Network Policy,我們可以限制哪些 Pod 能夠與儲存密碼的服務通訊。以下是一個限制 Vault 存取的 Network Policy 範例:
# 限制只有特定標籤的 Pod 能夠存取 Vault
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: vault-access-policy
namespace: vault
spec:
# 套用到 Vault Pod
podSelector:
matchLabels:
app: vault
policyTypes:
- Ingress
ingress:
# 只允許來自具有 vault-client 標籤的 Pod
- from:
- podSelector:
matchLabels:
vault-client: "true"
ports:
- protocol: TCP
port: 8200
這個策略確保只有明確標記為 vault-client: "true" 的 Pod 能夠連線到 Vault 服務,其他 Pod 的連線請求會被拒絕。透過這種網路隔離,即使攻擊者入侵了某個 Pod,也無法直接存取 Vault 服務竊取密碼。
合規性檢查工具如 kube-bench 可以協助我們驗證 Kubernetes 叢集是否符合 CIS Kubernetes Benchmark 等安全基準。以下是執行檢查的範例:
# 安裝 kube-bench
curl -L https://github.com/aquasecurity/kube-bench/releases/download/v0.7.0/kube-bench_0.7.0_linux_amd64.tar.gz | \
tar -xz
# 執行完整的安全基準檢查
./kube-bench run --targets master,node,etcd,policies
# 僅檢查與 Secrets 相關的項目
./kube-bench run --check 1.2.33,1.2.34,5.1.5
kube-bench 會檢查諸如 etcd 是否啟用加密、API Server 稽核是否正確配置、Secrets 權限是否過於寬鬆等安全項目,並提供詳細的修復建議。定期執行這類檢查並修復發現的問題,能夠持續提升叢集的安全水準。
DevSecOps 文化與持續改進
技術工具與最佳實踐固然重要,但真正確保密碼管理長期有效的關鍵在於建立 DevSecOps 文化。DevSecOps 強調將安全性整合到整個軟體開發生命週期中,而不是將安全視為開發完成後才進行的獨立活動。在密碼管理的脈絡下,這意味著從設計階段就考慮密碼的儲存與存取方式,在開發過程中使用安全的密碼管理實踐,並在部署後持續監控與改進。
DevSecOps 的核心理念之一是自動化。手動的安全檢查與密碼輪替不僅效率低落,也容易因人為疏失而產生漏洞。透過將安全檢查整合到 CI/CD 流程中,我們可以確保每次程式碼變更都經過安全掃描,每次部署都使用最新的密碼管理策略。以下是一個整合了安全檢查的 GitLab CI/CD 配置範例:
# GitLab CI/CD 配置範例
stages:
- build
- security-scan
- deploy
# 建置容器映像檔
build-image:
stage: build
script:
- docker build -t myapp:${CI_COMMIT_SHA} .
- docker push myapp:${CI_COMMIT_SHA}
# 安全掃描階段
trivy-scan:
stage: security-scan
script:
# 掃描映像檔漏洞
- trivy image --exit-code 1 --severity HIGH,CRITICAL myapp:${CI_COMMIT_SHA}
# 檢查是否有硬編碼密碼
- trivy image --exit-code 1 --scanners secret myapp:${CI_COMMIT_SHA}
# 如果發現嚴重漏洞或洩漏的密碼,阻止部署
allow_failure: false
# 檢查 Kubernetes 配置
k8s-config-scan:
stage: security-scan
script:
# 掃描 Kubernetes YAML 配置
- trivy config --exit-code 1 k8s-manifests/
allow_failure: false
# 部署到 Kubernetes
deploy-production:
stage: deploy
script:
# 確保使用最新的 Secret 版本
- kubectl apply -f k8s-manifests/secrets/
# 部署應用程式
- kubectl apply -f k8s-manifests/deployment.yaml
# 等待部署完成
- kubectl rollout status deployment/myapp
only:
- main
這個 CI/CD 流程在部署前自動執行多項安全檢查,包含容器映像檔漏洞掃描、敏感資訊洩漏檢測與 Kubernetes 配置驗證。只有通過所有檢查的程式碼才能被部署到生產環境,大幅降低了引入安全漏洞的風險。
跨團隊協作是 DevSecOps 成功的另一個關鍵要素。在傳統的組織架構中,開發、維運與資安團隊往往各自為政,導致資訊不流通與責任歸屬不清。DevSecOps 倡導打破這些隔閡,建立共同的目標與責任。在密碼管理的脈絡下,這意味著開發團隊需要理解基本的安全原則,資安團隊需要熟悉容器化技術,維運團隊則需要掌握密碼管理工具的操作與維護。
定期的安全培訓與知識分享能夠提升整個組織的安全意識。建議每季度舉辦密碼管理相關的技術分享會,討論最新的安全威脅、工具更新與最佳實踐。同時,透過建立內部的安全知識庫,記錄常見的安全問題與解決方案,能夠加速新成員的學習曲線,也能避免重複犯相同的錯誤。
持續改進是 DevSecOps 的精髓。安全威脅不斷演進,密碼管理的最佳實踐也會隨著技術發展而變化。組織應該建立定期的安全檢討機制,評估現有的密碼管理策略是否仍然有效,是否需要引入新的工具或調整流程。同時,從實際的安全事件中學習,分析事件的根本原因,並採取措施防止類似事件再次發生。
透過建立完善的監控與告警機制,我們可以即時發現密碼管理相關的異常行為。例如,當某個 ServiceAccount 在短時間內大量存取不同的 Secrets,可能意味著該帳號已被入侵。透過設定告警規則,自動通知資安團隊進行調查,能夠大幅縮短事件的反應時間。以下是使用 Prometheus 與 Alertmanager 設定 Secrets 存取告警的範例:
# Prometheus 告警規則
groups:
- name: secrets-access-alerts
interval: 30s
rules:
# 偵測異常的 Secrets 存取頻率
- alert: HighSecretsAccessRate
expr: rate(apiserver_audit_event_total{objectRef_resource="secrets",verb="get"}[5m]) > 10
for: 5m
labels:
severity: warning
component: secrets
annotations:
summary: "偵測到異常的 Secrets 存取頻率"
description: "Secrets 的存取頻率在過去 5 分鐘內超過每秒 10 次,可能存在異常行為"
# 偵測非預期的 Secrets 修改
- alert: UnexpectedSecretsModification
expr: increase(apiserver_audit_event_total{objectRef_resource="secrets",verb=~"update|patch|delete"}[1h]) > 5
labels:
severity: critical
component: secrets
annotations:
summary: "偵測到非預期的 Secrets 修改操作"
description: "在過去 1 小時內有超過 5 次 Secrets 的修改操作,請立即檢查"
這些告警規則會持續監控 API Server 的稽核事件,當 Secrets 的存取或修改頻率超過正常範圍時,自動發送告警通知。透過這種主動監控,能夠在安全事件造成實際損害之前就發現並處理。
未來趨勢與展望
Kubernetes 密碼管理的技術與實踐仍在持續演進。展望未來,我們可以預見幾個重要的發展趨勢將進一步改變密碼管理的方式。
第一個趨勢是更深度的雲端平台整合。主流的雲端服務提供商如 AWS、Azure 與 Google Cloud 都在強化其金鑰管理服務與 Kubernetes 的整合。例如,AWS 的 Secrets Manager 與 EKS 的整合越來越緊密,透過 Secrets Store CSI Driver,應用程式能夠直接將 AWS Secrets Manager 中的密碼掛載為 Kubernetes Volume,完全不需要在 Kubernetes 層面建立 Secrets 物件。這種整合方式將密碼的儲存與管理完全委託給雲端平台,簡化了架構複雜度,同時也能享受雲端平台提供的進階功能,如自動輪替、跨區域複寫與細緻的存取控制。
以下是使用 AWS Secrets Manager 與 Secrets Store CSI Driver 的範例:
# 安裝 Secrets Store CSI Driver 與 AWS Provider
# kubectl apply -f https://raw.githubusercontent.com/kubernetes-sigs/secrets-store-csi-driver/main/deploy/rbac-secretproviderclass.yaml
# kubectl apply -f https://raw.githubusercontent.com/kubernetes-sigs/secrets-store-csi-driver/main/deploy/csidriver.yaml
# kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml
apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
name: aws-secrets
spec:
provider: aws
parameters:
# 從 AWS Secrets Manager 取得密碼
objects: |
- objectName: "prod/database/credentials"
objectType: "secretsmanager"
jmesPath:
- path: username
objectAlias: dbUsername
- path: password
objectAlias: dbPassword
---
apiVersion: apps/v1
kind: Deployment
metadata:
name: web-app
spec:
replicas: 2
selector:
matchLabels:
app: web
template:
metadata:
labels:
app: web
spec:
serviceAccountName: web-app
containers:
- name: web
image: myapp:latest
volumeMounts:
# 將 AWS Secrets Manager 的密碼掛載到容器
- name: secrets-store
mountPath: "/mnt/secrets"
readOnly: true
volumes:
- name: secrets-store
csi:
driver: secrets-store.csi.k8s.io
readOnly: true
volumeAttributes:
secretProviderClass: "aws-secrets"
這個配置讓應用程式能夠直接從 /mnt/secrets/dbUsername 與 /mnt/secrets/dbPassword 讀取儲存在 AWS Secrets Manager 中的憑證,完全繞過 Kubernetes Secrets,簡化了密碼的生命週期管理。
第二個趨勢是人工智慧與機器學習在安全領域的應用。透過分析大量的稽核日誌與存取模式,AI 系統能夠學習正常的密碼存取行為,並自動偵測異常的存取模式。例如,如果某個應用程式平常只在白天存取資料庫憑證,但突然在深夜頻繁存取,AI 系統就能夠標記這種行為為潛在的安全威脅,並自動觸發額外的驗證流程或暫時撤銷存取權限。這種智慧化的安全監控能夠大幅提升安全事件的偵測率,同時減少誤報。
第三個趨勢是零信任架構的普及。傳統的安全模型假設網路內部是可信任的,只要通過了邊界防火牆,就能夠相對自由地存取內部資源。零信任架構則假設所有網路都是不可信任的,每次存取都需要進行身份驗證與授權。在密碼管理的脈絡下,這意味著即使在 Kubernetes 叢集內部,應用程式存取 Secrets 也需要經過嚴格的身份驗證,並基於最小權限原則授予存取權限。Service Mesh 技術如 Istio 提供了細緻的服務間通訊控制,能夠強制實施零信任策略,確保只有經過驗證的服務才能存取特定的密碼。
第四個趨勢是密碼管理的標準化。SPIFFE/SPIRE 等開放標準正在推動跨平台的身份驗證與授權機制。SPIFFE 定義了一套統一的身份識別格式,讓應用程式無論運行在哪個平台上,都能使用相同的方式進行身份驗證。SPIRE 則是 SPIFFE 的參考實作,提供了完整的身份管理與憑證發放功能。透過整合 SPIRE,Kubernetes 應用程式能夠取得短期的 X.509 證書或 JWT Token 作為身份憑證,這些憑證可以用於存取 Vault、資料庫或其他需要驗證的服務,實現統一的身份管理架構。
最後,密碼管理工具本身也在不斷演進。HashiCorp Vault 與 CyberArk Conjur 等主流工具持續增加新功能,如更好的 Kubernetes 原生整合、更強大的動態密碼產生引擎、更細緻的權限控制與更完善的稽核機制。同時,新的開源專案如 External Secrets Operator 也在簡化外部密碼管理系統與 Kubernetes 的整合,讓組織能夠更容易地採用企業級的密碼管理方案。
結論
Kubernetes 密碼管理是確保容器化應用安全的基石,需要從技術、流程與文化等多個面向來建構完整的解決方案。原生的 Kubernetes Secrets 提供了基礎的密碼儲存機制,但在企業級應用場景中,我們需要整合 HashiCorp Vault、CyberArk Conjur 等外部密碼管理系統,才能實現動態密碼產生、自動輪替、細緻權限控制與完整稽核等進階功能。
完善的備份與災難復原策略確保了業務持續性,透過 Velero 等工具實現自動化備份,結合地理複寫與定期演練,能夠在災難發生時快速復原服務。同時,遵循最小權限原則、定期輪替密碼、啟用安全稽核與整合安全掃描工具等最佳實踐,能夠持續提升密碼管理的安全水準。
更重要的是,組織需要擁抱 DevSecOps 文化,將安全性整合到整個軟體開發生命週期中,透過自動化減少人為疏失,透過跨團隊協作提升整體安全意識,透過持續改進應對不斷演進的安全威脅。只有將技術工具、管理流程與組織文化結合在一起,才能建立真正安全穩固的 Kubernetes 密碼管理架構。
展望未來,雲端平台的深度整合、人工智慧的應用、零信任架構的普及與密碼管理標準化等趨勢,將持續推動 Kubernetes 密碼管理技術的演進。作為技術實踐者,我們需要保持學習與探索的心態,及時掌握新技術與新工具,並根據組織的實際需求選擇合適的解決方案。希望本文提供的知識與實務經驗,能夠協助您在 Kubernetes 密碼管理的旅程中,建立更安全、更可靠、更符合企業需求的密碼管理架構。
