在Kubernetes中使用可信平台模块

Question

我有一个签名的钥匙，我需要安全储存。

我过去所做的就是将它直接存储在同一台主机上可用的硬件中(TPM2.0，使用pkcs11 API)。现在我将我的服务转移到Kubernetes，我尝试谷歌"Kubernetes TPM“，但是我发现的所有东西都是用远程TPM保护Kubernetes (通过密钥管理系统)，而不是在主机上。是否使用位于节点上的硬件是反模式(因为我很少看到使用节点TPM和Kubernetes)？保护那些签名密钥最常用的方法是什么(除了KMS)？

谢谢!

Answer 1

• 运行您的kubernetes集群
• 将哈希科普库部署为您的首批应用程序之一。
• 然后根据您的需要配置它。即https://www.vaultproject.io/docs/configuration/seal/pkcs11

在这个时代，API是一种方式。