我目前已经通过头盔图表将Flux和头盔操作员安装在我的集群中。通量部署正在监视git repo,其中我有一个.flux.yaml,我通过通量部署git-path标志传递文件夹上下文。这用于运行kustomize修补我要用于部署的哪些值文件。其中一些环境包含通过sops加密的文件。
我已配置启用了Sops的Flux。 sops / helm机密使用的是aws kms密钥,因此在本地,我承担了一个角色,该角色已授予我使用指定kms arn进行加密/解密的权限。我遇到的问题是在掌舵部署之前将这些机密解密。我目前最终在最终的kubernetes资源中获得了加密的值。 Cant似乎找到了任何其他有关配置aws访问/秘密密钥以供焊剂在通量侧的肥皂使用的文档,或者在舵手操作员上可能通过舵机秘密进行操作的任何其他文档。任何提示将不胜感激!
事实证明,解密机密没有问题。 Flux Pod使用节点角色运行肥皂(我已使用必要的kms密钥授予了访问decypt的权限),并成功解密了机密。我通过执行到pod并在包含我的机密的文件上尝试sops -d来进行测试。
问题最终导致我实际上没有将解密的文件传递给helmrelease。我最终通过使用以下.flux.yaml完成此操作:
version: 1
patchUpdated:
generators:
- command: sops -d --output secrets.yaml secrets.enc.yaml && kustomize build .
- command: rm secrets.yaml
patchFile: ../base/flux-patch.yaml
我本来将我的机密文件格式化为头盔值文件,但后来对其进行了更新,以便能够使用解密后的值修补基本头盔版本文件值部分。这导致所有释放的值都被helmrelease使用。第二个命令删除解密的secrets.yaml文件,以免最终被提交回存储库。
请记住,这会导致在包含您所有机密的群集中进行helmrelease,因此您需要相应地管理对helmrelease对象的访问。