k3s secrets-encrypt
- Secret 加密工具

k3s secrets-encrypt

K3s 支持启用静态加密。有关详细信息，请参阅 Secret 加密。

Secret 加密工具

版本

从 v1.21.8+k3s1 起可用

K3s 包含一个 CLI 工具 secrets-encrypt，可以自动控制以下内容：

禁用/启用 Secret 加密
添加新的加密密钥
轮换和删除加密密钥
重新加密 Secret

警告

如果不遵循正确的加密密钥轮换程序，你的集群可能会永久损坏。因此，请谨慎操作。

加密密钥轮换

单服务器
高可用

要在单服务器集群上轮换 Secret 加密密钥：

使用标志 --secrets-encryption 启动 K3s Server

备注

目前不支持在没有加密的情况下启动 K3s 并在后续启用它。

准备
```
k3s secrets-encrypt prepare
```

使用相同的参数终止并重启 K3s Server。如果将 K3s 作为服务运行：

# 如果使用 systemd
systemctl restart k3s
# 如果使用 openrc
rc-service k3s restart

轮换
```
k3s secrets-encrypt rotate
```
使用相同的参数终止并重启 K3s Server。
重新加密

信息

K3s 每秒将重新加密约 5 个 Secret。
具有大量 Secret 的集群可能需要几分钟才能重新加密。
```
k3s secrets-encrypt reencrypt
```

嵌入式数据库和外部数据库集群的步骤相同。

要在 HA 设置上轮换 Secret 加密密钥：

注意事项

目前不支持在没有加密的情况下启动 K3s 并在后续启用它。
虽然不是必需的，但建议你选择一个 Server 节点来运行 secrets-encrypt 命令。

使用 --secrets-encryption 标志启动所有三个 K3s Server。为简便起见，我们将 server 分别称为 S1、S2、S3。
准备 S1
```
k3s secrets-encrypt prepare
```

使用相同的参数终止并重启 S1。如果将 K3s 作为服务运行：

# 如果使用 systemd
systemctl restart k3s
# 如果使用 openrc
rc-service k3s restart

S1 启动后，终止并重启 S2 和 S3
轮换 S1
```
k3s secrets-encrypt rotate
```
使用相同的参数终止并重启 S1。
S1 启动后，终止并重启 S2 和 S3
在 S1 上重新加密

信息

K3s 每秒将重新加密约 5 个 Secret。
具有大量 Secret 的集群可能需要几分钟才能重新加密。
```
k3s secrets-encrypt reencrypt
```
使用相同的参数终止并重启 S1。
S1 启动后，终止并重启 S2 和 S3

禁用/启用 Secret 加密

单服务器
高可用

使用 --secrets-encryption 标志启动 server 后，你还可以禁用 Secret 加密。

要在单节点集群上禁用 Secret 加密：

禁用
```
k3s secrets-encrypt disable
```

使用相同的参数终止并重启 K3s Server。如果将 K3s 作为服务运行：

# 如果使用 systemd
systemctl restart k3s
# 如果使用 openrc
rc-service k3s restart

使用标志重新加密

k3s secrets-encrypt reencrypt --force --skip

要在单节点集群上重新启用 Secret 加密：

启用
```
k3s secrets-encrypt enable
```
使用相同的参数终止并重启 K3s Server。

使用标志重新加密

k3s secrets-encrypt reencrypt --force --skip

使用 --secrets-encryption 标志启动 HA 集群后，你还可以禁用 Secret 加密。

备注

虽然不是必需的，但建议你选择一个 Server 节点来运行 secrets-encrypt 命令。

为简便起见，我们将本指南中使用的 3 个 server 分别称为 S1、S2、S3。

要在 HA 集群上禁用 Secret 加密：

在 S1 上禁用
```
k3s secrets-encrypt disable
```

使用相同的参数终止并重启 S1。如果将 K3s 作为服务运行：

# 如果使用 systemd
systemctl restart k3s
# 如果使用 openrc
rc-service k3s restart

S1 启动后，终止并重启 S2 和 S3

在 S1 上使用标志重新加密

k3s secrets-encrypt reencrypt --force --skip

要在 HA 集群上重新启用 Secret 加密：

在 S1 上启用
```
k3s secrets-encrypt enable
```
使用相同的参数终止并重启 S1。
S1 启动后，终止并重启 S2 和 S3

在 S1 上使用标志重新加密

k3s secrets-encrypt reencrypt --force --skip

Secret 加密状态

secrets-encrypt 工具包含一个 status 命令，该命令能显示节点上 Secret 加密的当前状态信息。

单 Server 节点上的命令示例：

$ k3s secrets-encrypt status
Encryption Status: Enabled
Current Rotation Stage: start
Server Encryption Hashes: All hashes match
Active  Key Type  Name
------  --------  ----
 *      AES-CBC   aescbckey

以下是另一个关于 HA 集群的例子，在轮换密钥后，重启 server 之前：

$ k3s secrets-encrypt status
Encryption Status: Enabled
Current Rotation Stage: rotate
Server Encryption Hashes: hash does not match between node-1 and node-2
Active  Key Type  Name
------  --------  ----
 *      AES-CBC   aescbckey-2021-12-10T22:54:38Z
        AES-CBC   aescbckey

各部分详情如下：

Encryption Status：显示节点上的 Secret 加密是禁用还是启用的
Current Rotation Stage：表示节点上当前的轮换阶段
Stage 可能是：start，prepare，rotate，reencrypt_request，reencrypt_active，reencrypt_finished
Server Encryption Hashes：对 HA 集群有用，表明所有 server 是否与本地文件处于同一阶段。这可用于确定在进入下一阶段之前是否需要重启 server。在上面的 HA 例子中，node-1 和 node-2 的哈希值不同，说明它们目前没有相同的加密配置。重启 server 将同步它们的配置。
Key Table：汇总在节点上找到的 Secret 加密密钥的信息。
- Active：“*”表示当前使用了哪些密钥（如果有的话）进行Secret 加密。Kubernetes 使用 active 密钥来加密新的 Secret。
- Key Type：使用此工具的所有密钥都是 AES-CBC 类型。详情请参见此处。
- Name：加密密钥的名称。