如何管理kubernetes中的詹金斯秘密？

Question

嘿，我是kubernetes的新手，正在玩jenkins部署。我已经通过deployment.yaml以及服务和pvc.yaml部署了jenkins主容器。

我将服务设置为节点端口，但是如何保护和管理jenkins secret？我是否需要为此创建某种configmap？我通常会从kubectl日志中获得詹金斯的秘密。任何帮助或建议将不胜感激，以使其更加安全:)

Answer 1

首先让我们清除一些概念和背景：

由于您是kubernetes的新手，我将帮助您更好地了解这种情况，并为您提供实现目标的建议。

ConfigMap将配置数据存储为键值对。 ConfigMap与Secrets 相似，但提供了一种处理不包含敏感信息的字符串的方法。

我将发布Configmap的描述，以帮助您了解它具有强大的数据处理能力，但不适用于存储敏感信息，因此下面将不再赘述。

Kubernetes Secrets使您可以存储和管理敏感信息，例如密码，OAuth令牌和ssh密钥。与逐字记录在Pod定义或容器映像中相比，将机密信息存储在Secret中更安全，更灵活。

从本质上讲，Kubernetes使用秘密来处理存储敏感数据的对象，并且该对象已通过kubernetes-api进行了身份验证，除非拥有群集管理的有效凭据，否则它就不能从外部访问。

Jenkins默认将密码存储在秘密中。

---

部署：

• This is the 101 guide to deploy Jenkins on Kubernetes
  • 它将向您展示提取从秘密中提取的管理员密码的最佳方法
  • 它将向您展示如何访问Jenkins UI。
  • 使用Helm自动化部署，这是Kubernetes上的强大工具。

---

解决您的问题：

如何保护和管理詹金斯机密？

• Jenkins机密通过kubernetes凭据是安全的，只有有权访问群集的用户才能提取它，因此默认情况下它是相对安全的。
  • 您可以了解Kubernetes如何管理身份验证Here。
  • 使用这种方法，您可以从Jenkins UI管理用户和密码。您可以了解Jenkins凭证here。

任何帮助或建议，将使其更加安全

• 获得了有关Jenkins和Kubernetes的经验之后，随着设置的增长，您可以开始使用几个步骤来增强整体安全性。到目前为止，我们依赖于本机安全工具，但是您可以考虑使用新的分布式身份验证方法。以下是一些指南，您可以了解更多信息：
  • Configuring and Securing Credentials in Jenkins
  • Official Jenkins Credentials Documentation
  • Using OAuth Credentials
  • Third-party SSO Login with KeyCloak

如果我可以帮助您进一步在评论中告诉我！