Dostawca usługi Azure Key Vault dla sterownika CSI dla magazynu tajemnic w celu konfiguracji i rozwiązywania problemów z usługą AKS

Dostawca usługi Azure Key Vault dla sterownika interfejsu CSI (Container Storage Interface) magazynu wpisów tajnych umożliwia bezpieczne i zautomatyzowane zarządzanie wpisami tajnymi w usłudze Azure Kubernetes Service (AKS). Ten artykuł zawiera wskazówki dotyczące konfigurowania dostawcy, rozwiązywania typowych problemów i optymalizowania zarządzania sekretami w środowisku usługi AKS.

Wymagania wstępne

Przed kontynuowaniem pracy z tym przewodnikiem wykonaj kroki opisane w poniższych artykułach. Po wykonaniu tych kroków możesz zastosować dodatkowe konfiguracje lub wykonać rozwiązywanie problemów w klastrze usługi AKS.

Opcje konfiguracji

Zarządzanie automatycznym obracaniem

Po włączeniu automatycznej rotacji dla dostawcy wpisów tajnych usługi Azure Key Vault zaktualizuje on montaż zasobników i wpis tajny Kubernetes zdefiniowany w polu secretObjectsSecretProviderClass. Wykonuje to poprzez okresowe sondowanie pod kątem zmian, zgodnie z ustalonym przez Ciebie interwałem rotacji. Domyślny interwał sondowania rotacji to dwie minuty. Po zaktualizowaniu wpisu tajnego w zewnętrznym magazynie wpisów tajnych po początkowym wdrożeniu zasobnika zarówno wpis tajny Kubernetes, jak i instalacja zasobnika są okresowo odświeżane. Częstotliwość aktualizacji i metoda zależą od sposobu uzyskiwania przez aplikację dostępu do tajnych danych.

Zamontuj Sekret Kubernetes jako wolumin: użyj funkcji automatycznego obracania i synchronizacji sekretów K8s Sterownika CSI Secrets Store. Aplikacja musi obserwować zmiany w zamontowanym woluminie sekretu Kubernetes. Gdy sterownik CSI aktualizuje wpis tajny Kubernetes, odpowiednia zawartość woluminu zostanie również automatycznie zaktualizowana.
Aplikacja odczytuje dane z systemu plików kontenera: użyj funkcji rotacji Secrets Store CSI Driver. Aplikacja musi monitorować zmiany plików na woluminie zamontowanym przez sterownik CSI.
Użyj sekreta Kubernetes dla zmiennej środowiskowej: zrestartuj zasobnik, aby uzyskać najnowszy sekret jako zmienną środowiskową. Użyj narzędzia takiego jak Reloader, aby monitorować zmiany w zsynchronizowanym Kubernetes Secret i przeprowadzić aktualizacje kroczące na pods.

Aby włączyć automatyczną rotację sekretów w nowym klastrze usługi AKS przy użyciu az aks create i włączyć dodatek enable-secret-rotation, uruchom następujące polecenie:

az aks create \
    --name myAKSCluster2 \
    --resource-group myResourceGroup \
    --enable-addons azure-keyvault-secrets-provider \
    --enable-secret-rotation \
    --generate-ssh-keys

Aby zaktualizować istniejący klaster usługi AKS w celu włączenia automatycznego obracania tajemnic przy użyciu az aks addon update polecenia i parametru enable-secret-rotation, uruchom następujące polecenie:
```
az aks addon update --resource-group myResourceGroup --name myAKSCluster2 --addon azure-keyvault-secrets-provider --enable-secret-rotation
```

Aby wyłączyć rotację automatyczną, należy najpierw wyłączyć dodatek. Następnie możesz ponownie włączyć dodatek bez parametru enable-secret-rotation .

Wyłącz dodatek dostawcy sekretów przy użyciu polecenia az aks addon disable.

az aks addon disable --resource-group myResourceGroup --name myAKSCluster2 --addon azure-keyvault-secrets-provider

Ponownie włącz dodatek dostawcy wpisów tajnych bez parametru enable-secret-rotation przy użyciu polecenia az aks addon enable:
```
az aks addon enable --resource-group myResourceGroup --name myAKSCluster2 --addon azure-keyvault-secrets-provider
```

Jeśli już używasz SecretProviderClassprogramu, możesz zaktualizować dodatek, nie wyłączając go najpierw, przez użycie az aks addon enable bez określania parametru enable-secret-rotation.

Aby określić niestandardowy interwał rotacji przy użyciu az aks addon update polecenia z parametrem rotation-poll-interval , uruchom następujące polecenie:

az aks addon update --resource-group myResourceGroup --name myAKSCluster2 --addon azure-keyvault-secrets-provider --enable-secret-rotation --rotation-poll-interval 5m

Synchronizowanie zamontowanej zawartości z sekretem Kubernetes

Uwaga

Przykłady YAML w tej sekcji są niekompletne. Należy je zmodyfikować, aby obsługiwać wybraną metodę dostępu do tożsamości magazynu kluczy. Aby uzyskać szczegółowe informacje, zobacz Zapewnianie tożsamości, aby uzyskać dostęp do dostawcy Azure Key Vault dla sterownika CSI Secrets Store.

Możesz utworzyć tajne dane Kubernetes, aby odzwierciedlić zawartość twoich zamontowanych tajnych danych. Twoje tajne dane są synchronizowane po uruchomieniu zasobnika w celu ich zamontowania. Usunięcie zasobników korzystających z sekretów spowoduje również usunięcie sekretu Kubernetes.

Synchronizowanie zamontowanej zawartości z tajnym Kubernetes przy użyciu pola secretObjects podczas tworzenia elementu SecretProviderClass w celu definiowania żądanego stanu tajnego Kubernetes, jak pokazano w poniższym przykładzie YAML. Upewnij się, że objectName w polu secretObjects jest zgodne z nazwą pliku zamontowanej zawartości. Jeśli zamiast tego używasz objectAlias , powinien on być zgodny z aliasem obiektu.

apiVersion: secrets-store.csi.x-k8s.io/v1
kind: SecretProviderClass
metadata:
  name: azure-sync
spec:
  provider: azure
  secretObjects:             # [OPTIONAL] SecretObjects defines the desired state of synced Kubernetes secret objects
  - data:
    - key: username          # data field to populate
      objectName: foo1       # name of the mounted content to sync; this could be the object name or the object alias
    secretName: foosecret    # name of the Kubernetes secret object
    type: Opaque             # type of Kubernetes secret object (for example, Opaque, kubernetes.io/tls)

Ustaw zmienną środowiskową do odwołania się do tajemnic Kubernetes

Uwaga

W przykładowym pliku YAML pokazano, jak uzyskać dostęp do sekretu za pomocą zmiennych środowiskowych lub volume/volumeMount. Zazwyczaj aplikacja używa jednej metody lub drugiej. Aby jednak udostępnić sekret za pomocą zmiennych środowiskowych, co najmniej jeden pod musi zamontować sekret.

Odwołuj się do nowo utworzonego sekretu Kubernetes, ustawiając zmienną środowiskową w podzie, jak pokazano w poniższym przykładzie YAML.

kind: Pod
apiVersion: v1
metadata:
  name: busybox-secrets-store-inline
spec:
  containers:
    - name: busybox
      image: registry.k8s.io/e2e-test-images/busybox:1.29-1
      command:
        - "/bin/sleep"
        - "10000"
      volumeMounts:
      - name: secrets-store01-inline
        mountPath: "/mnt/secrets-store"
        readOnly: true
      env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: foosecret
            key: username
  volumes:
    - name: secrets-store01-inline
      csi:
        driver: secrets-store.csi.k8s.io
        readOnly: true
        volumeAttributes:
          secretProviderClass: "azure-sync"

Migrowanie z otwartoźródłowego sterownika CSI magazynu wpisów tajnych do sterownika zarządzanego przez AKS

Odinstaluj open-source'owy sterownik CSI do zarządzania tajnymi danymi przy użyciu następującego helm delete polecenia:

helm delete <release name>

Wskazówka

Jeśli sterownik i dostawcę zostały zainstalowane przy użyciu plików YAML wdrożenia, możesz usunąć składniki przy użyciu następującego polecenia kubectl delete.

# Delete AKV provider pods from Linux nodes
kubectl delete -f https://raw.githubusercontent.com/Azure/secrets-store-csi-driver-provider-azure/master/deployment/provider-azure-installer.yaml

# Delete AKV provider pods from Windows nodes
kubectl delete -f https://raw.githubusercontent.com/Azure/secrets-store-csi-driver-provider-azure/master/deployment/provider-azure-installer-windows.yaml

Uaktualnij istniejący klaster usługi AKS używając polecenia az aks enable-addons.

az aks enable-addons --addons azure-keyvault-secrets-provider --name myAKSCluster --resource-group myResourceGroup

Możesz monitorować kondycję i wydajność dostawcy usługi Azure Key Vault dla Sterownika CSI Sklepu Tajemnic, zbierając ujawniane przez niego metryki. Te wskaźniki zapewniają wgląd w czasy trwania żądań, wskaźniki błędów oraz ogólne działanie komponentów dostawcy i sterownika, ułatwiając rozwiązywanie problemów i optymalizację zarządzania tajnymi danymi klastra usługi AKS.

Metryki są obsługiwane za pośrednictwem Prometheus z portu 8898, ale ten port nie jest domyślnie uwidoczniony poza podem. Uzyskaj dostęp do metryk za pośrednictwem hosta lokalnego kubectl port-forward przy użyciu polecenia :

kubectl port-forward -n kube-system ds/aks-secrets-store-provider-azure 8898:8898 & curl localhost:8898/metrics

Te metryki ułatwiają monitorowanie wydajności i niezawodności dostawcy usługi Azure Key Vault, w tym opóźnienia żądań i śledzenia błędów zarówno dla usługi Key Vault, jak i operacji gRPC.

Metryczne	opis	Tagi
keyvault_request	Rozkład czasu trwania procesu pobierania danych z magazynu kluczy.	`os_type=<runtime os>`, , `provider=azure`, `object_name=<keyvault object name>`, , `object_type=<keyvault object type>error=<error if failed>`
grpc_request	Rozkład czasu trwania żądań gRPC.	`os_type=<runtime os>`, , `provider=azure`, `grpc_method=<rpc full method>`, , `grpc_code=<grpc status code>grpc_message=<grpc status message>`

Metryki są serwowane z portu 8095, ale ten port nie jest domyślnie udostępniony poza podem. Uzyskaj dostęp do metryk za pośrednictwem hosta lokalnego kubectl port-forward przy użyciu polecenia :

kubectl port-forward -n kube-system ds/aks-secrets-store-csi-driver 8095:8095 & curl localhost:8095/metrics

Te metryki zapewniają wgląd w operacje wewnętrzne sterownika CSI, takie jak żądania instalacji i odinstalowywania woluminów, synchronizacja tajemnic oraz działania rotacyjne.

Metryczne	opis	Tagi
całkowita_publikacja_węzła	Całkowita liczba pomyślnych żądań instalacji woluminu.	`os_type=<runtime os>`, `provider=<provider name>`
total_node_unpublish	Całkowita liczba pomyślnych żądań odinstalowania woluminu.	`os_type=<runtime os>`
total_node_publish_error	Całkowita liczba błędów dotyczących żądań montowania woluminu.	`os_type=<runtime os>`, `provider=<provider name>error_type=<error code>`
liczba_błędu_publikacji_węzła	Całkowita liczba błędów związanych z żądaniami odinstalowania woluminu.	`os_type=<runtime os>`
total_sync_k8s_secret	Całkowita liczba zsynchronizowanych sekretów Kubernetes.	`os_type=<runtime os`, `provider=<provider name>`
sync_k8s_secret_duration_sec	Rozkład czasu synchronizacji sekretu Kubernetes.	`os_type=<runtime os>`
total_rotation_reconcile	Całkowita liczba operacji uzgadniania rotacji woluminów.	`os_type=<runtime os>`, `rotated=<true or false>`
błąd w uzgadnianiu całkowitej rotacji	Całkowita liczba operacji uzgadniania, które spowodowały błędy.	`os_type=<runtime os>`, `rotated=<true or false>error_type=<error code>`
rotation_reconcile_duration_sec	Rozkład czasu rotacji zawartości sklepu tajemnic dla kontenerów.	`os_type=<runtime os>`

Rozwiązywanie problemów

Aby uzyskać instrukcje rozwiązywania problemów, zobacz Rozwiązywanie problemów z dostawcą usługi Azure Key Vault dla sterownika CSI magazynu sekretów.

Następne kroki

Aby dowiedzieć się więcej o dostawcy Azure Key Vault dla CSI Driver magazynu tajemnic, zapoznaj się z następującymi zasobami:

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-12-17