加密秘密读取Flux中GitHub源

Question

在我的Kubernetes云中，我确实有FluxCD来管理所有组件。FluxCD正在使用SOPS解密所有密码。这导致了这样的声明：

---
apiVersion: source.toolkit.fluxcd.io/v1beta1
kind: GitRepository
metadata:
  name: load-balancer-controller
  namespace: flux-system
spec:
  interval: 1m
  ref:
    branch: main
  url: https://github.com/fantasyaccount/load-balancer-controller.git

---
apiVersion: kustomize.toolkit.fluxcd.io/v1beta1
kind: Kustomization
metadata:
  name: load-balancer-controller
  namespace: flux-system
spec:
  decryption:
    provider: sops
    secretRef:
      name: sops-gpg
  interval: 1m
  path: "./deployment"
  prune: true
  sourceRef:
    kind: GitRepository
    name: load-balancer-controller

在负载均衡控制器回购中，我可以使用SOPS加密的秘密。这对我来说很明显。

但是，是否也可以使用SOPS加密秘密令牌以访问回购协议本身？我知道我可以用kubectl创造秘密。给库伯内特斯添加秘密标记，但这是我现在想要的。我也想在这里使用SOPS加密令牌。

Answer 1

加密初始GitRepository的秘密的挑战是定义集群配置过程是什么样子的，因为这代表了一个鸡蛋问题。

我能看到这种工作的一种方法是使用支持上下文身份验证(如Bucket )的源来安装Flux。这样，您可以在S3桶中存储加密的Git秘密、当前存储库的GitRepository以及将其应用于集群的Kustomization。

下面是关于EKS：https://fluxcd.io/docs/components/source/buckets/#aws-ec2-example上下文身份验证的更多信息

请注意，使用这种方法，集群部署管道必须存储GPG密钥，因为您需要在将Flux安装到集群之前(或之后不久)部署这个秘密。