在現代雲端原生應用中，安全地管理秘密資訊至關重要。AWS Secrets Manager，搭配Kubernetes的Container Storage Interface (CSI)驅動程式，提供了一種強大的解決方案，用以將秘密資訊安全地注入到Kubernetes pods中。本博客文章探討了AWS Secrets Manager如何與CSI驅動程式整合，並提供了關於如何解決常見問題的實用指導。

什麼是 AWS Secrets Manager?

AWS Secrets Manager是一種受管理服務，幫助您保護對應用、服務和IT資源的訪問，而無需承擔自行管理硬體安全模組(HSM)或手動密鑰轉換的前期成本和複雜性。Secrets Manager允許您在其生命週期中旋轉、管理並檢索數據庫憑證、API密鑰和其他秘密資訊。

什麼是CSI驅動程式？

Container Storage Interface (CSI)驅動程式是一種標準化的方式，用於將儲存系統暴露給Kubernetes上的容器化工作負載。Secrets Store CSI驅動程式允許Kubernetes將存儲在AWS Secrets Manager等外部秘密管理系統中的秘密資訊、金鑰和證書作為卷掛載到pods中。

AWS Secrets Manager與CSI驅動程式如何協同工作

AWS Secrets Manager與CSI驅動程式之間的整合是通過Secrets Store CSI驅動程式實現的，該驅動程式從AWS Secrets Manager中檢索秘密資訊並將其掛載到您的Kubernetes pods中。以下是整個過程的高級概覽：

1. 部署：將Secrets Store CSI驅動程式部署到您的Kubernetes集群。這個驅動程式作為Kubernetes和外部秘密管理系統之間的中介。

2. SecretProviderClass：定義一個SecretProviderClass自定義資源，該資源指定要從AWS Secrets Manager檢索的秘密資訊。這個資源包含Secrets Manager提供程序的設定和要掛載的特定秘密資訊。

3. Pod配置：配置您的Kubernetes pods來使用Secrets Store CSI驅動程式。在pod的描述中，指定一個使用CSI驅動程式的卷並引用SecretProviderClass。

4. 掛載秘密資訊：當部署pod時，CSI驅動程式從AWS Secrets Manager檢索指定的秘密資訊並將其作為卷掛載到pod中。

配置範例

以下是一個配置範例，用以說明整個過程：

1. SecretProviderClass：

   apiVersion: secrets-store.csi.x-k8s.io/v1
   kind: SecretProviderClass
   metadata:
     name: aws-secrets
   spec:
     provider: aws
     parameters:
       objects: |
         - objectName: "my-db-password"
           objectType: "secretsmanager"
           objectAlias: "db-password"
   

2. Pod配置：

   apiVersion: v1
   kind: Pod
   metadata:
     name: my-app
   spec:
     containers:
     - name: my-container
       image: my-app-image
       volumeMounts:
       - name: secrets-store
         mountPath: "/mnt/secrets-store"
         readOnly: true
     volumes:
     - name: secrets-store
       csi:
         driver: secrets-store.csi.k8s.io
         readOnly: true
         volumeAttributes:
           secretProviderClass: "aws-secrets"
   

在這個例子中，SecretProviderClass指定應從AWS Secrets Manager中檢索名為”my-db-password”的秘密資訊並將其掛載到pod中。pod的描述包含了使用Secrets Store CSI驅動程式的卷，並引用SecretProviderClass來檢索和掛載秘密資訊。

故障排查問題

整合AWS Secrets Manager與CSI驅動程式有時會遇到一些挑戰。以下是一些常見問題和故障排查步驟：

1. 檢查驅動程式日誌

檢查Secrets Store CSI驅動程式的日誌是否有任何錯誤訊息。日誌可能會提供對可能出錯的地方的見解。使用以下命令來查看日誌：

kubectl logs -l app=secrets-store-csi-driver -n kube-system

2. 檢查SecretProviderClass配置

確保您的SecretProviderClass配置正確。驗證物件名稱、類型和別名以確保它們與存儲在AWS Secrets Manager中的秘密資訊相匹配。

3. IAM權限

確保Kubernetes節點有訪問AWS Secrets Manager所需的IAM權限。您可能需要將IAM策略附加到節點的實例配置檔中，以授予訪問秘密資訊的權限。

4. 卷配置

驗證您pod的描述中的卷配置是否正確。確保卷屬性，特別是secretProviderClass字段，與SecretProviderClass的名稱相匹配。

5. 檢查Kubernetes事件

檢查您的Kubernetes集群中的事件是否有任何相關的錯誤或警告。使用以下命令來查看事件：

kubectl get events -n <namespace>

6. 秘密資訊版本

確保SecretProviderClass中指定的秘密資訊版本（如果適用）在AWS Secrets Manager中存在。版本不匹配可能會引發問題。

故障排除範例場景

假設你的秘密資訊並未如預期掛載，以下是進行故障排查的步驟：

1. 檢查驅動程式日誌：

   kubectl logs -l app=secrets-store-csi-driver -n kube-system
   

   尋找與檢索秘密資訊過程相關的任何錯誤訊息。

2. 驗證SecretProviderClass配置：

   kubectl get secretproviderclass aws-secrets -o yaml
   

   確保配置與存儲在AWS Secrets Manager中的秘密資訊相匹配。

3. 檢查IAM權限： 通過檢查附接到節點的實例配置檔，確保你的節點具有必要的IAM權限。

4. 檢查Pod事件：

   kubectl describe pod my-app
   

   尋找任何與卷掛載相關的事件。

熟悉這些步驟，你可以系統性地識別並解決與AWS Secrets Manager和CSI驅動程式相關的問題。

結論

AWS Secrets Manager及CSI驅動程式提供了一種強大的解決方案，可以將秘密資訊安全地管理並注入到Kubernetes pods中。通過了解整合過程並知道如何排除常見問題，你可以確保順利且安全地部署您的應用程序。利用AWS Secrets Manager及CSI驅動程式的功能，提升你的Kubernetes的安全性，並簡化秘密資訊管理。