Gardener项目中的密钥管理机制深度解析

Gardener项目中的密钥管理机制深度解析

gardener Homogeneous Kubernetes clusters at scale on any infrastructure using hosted control planes. 项目地址: https://gitcode.com/gh_mirrors/ga/gardener

前言

在Kubernetes集群管理领域，安全凭证的管理一直是系统设计中的关键环节。作为专业的Kubernetes集群管理系统，Gardener项目需要处理大量安全凭证（如证书、私钥、密码等）的生成、轮换和持久化问题。本文将深入解析Gardener项目中独创的SecretsManager机制，帮助读者理解其设计理念和实现细节。

密钥管理面临的挑战

在管理Seed集群和Shoot集群时，Gardener需要应对以下几个核心挑战：

1. 自动续期：各类证书需要在到期前自动续期
2. 安全轮换：密钥需要定期轮换以增强安全性
3. 持久化存储：控制平面迁移或Seed集群丢失时，密钥需要能够恢复
4. 平滑过渡：CA证书轮换期间需要确保服务不中断

SecretsManager架构设计

SecretsManager作为Gardener的核心组件，位于pkg/utils/secrets/manager包中，它构建在ConfigInterface和DataInterface接口之上，提供了完整的密钥生命周期管理能力。

核心功能接口

Generate方法

Generate(ctx context.Context, config secrets.ConfigInterface, opts ...GenerateOption) (*corev1.Secret, error)

这是最核心的方法，它根据配置生成或重新生成密钥。其智能之处在于：

• 配置变更时自动重新生成
• 签名CA变更时自动重新生成证书
• 触发主动轮换时重新生成
• 对于CA证书，自动生成包含新旧证书的bundle

关键选项参数：

| 选项 | 说明 | |------|------| | SignedByCA | 指定证书签名CA | | Persist | 标记密钥需要持久化到ShootState | | Rotate | 指定轮换策略(InPlace或KeepOld) | | Validity | 设置密钥有效期 | | RenewAfterValidityPercentage | 设置续期触发百分比 |

Get方法

Get(name string, opts ...GetOption) (*corev1.Secret, bool)

用于获取已生成的密钥，支持三种获取方式：

• Bundle（默认）：获取bundle形式的密钥
• Current：获取当前密钥
• Old：获取旧密钥

Cleanup方法

Cleanup(ctx context.Context) error

清理不再需要的密钥，应在所有Generate调用完成后执行。

证书签名策略详解

默认行为

SecretsManager在CA轮换期间采用智能签名策略：

1. 客户端证书：默认使用新CA签名

   • 确保在轮换第一阶段所有客户端都能及时更新
   • 为第二阶段服务端停止接受旧CA签名证书做准备

2. 服务端证书：默认使用旧CA签名

   • 确保客户端有时间更新其CA bundle
   • 第二阶段服务端才会切换到新CA签名证书

特殊场景处理

服务端证书使用新CA签名

当客户端和服务端同时更新时，可以使用UseCurrentCA选项：

secretsmanager.SignedByCA("my-ca", secretsmanager.UseCurrentCA)

典型场景：

• gardenlet同时部署webhook server和MutatingWebhookConfiguration
• 避免CA bundle已更新而服务端仍使用旧CA证书的情况

客户端证书使用旧CA签名

当客户端先于服务端部署时，可以使用UseOldCA选项：

secretsmanager.SignedByCA("my-ca", secretsmanager.UseOldCA)

典型场景：

• kube-apiserver在kubelet之前部署
• 避免客户端已使用新证书而服务端仍只接受旧CA签名证书

多组件集成方案

其他组件（如扩展）可以复用SecretsManager机制，但需要注意：

1. 身份标识：每个实例应使用唯一标识（如provider-foo-worker）
2. 独立CA：应生成自己的CA而非依赖gardenlet管理的CA
3. 命名隔离：密钥名称不应与其他实例冲突
4. 同步轮换：如需与Shoot CA同步轮换，需从Cluster资源获取轮换状态

现有密钥迁移指南

迁移现有密钥到SecretsManager的步骤：

1. 为现有密钥添加标签：secrets-manager-use-data-for-name=<config-name>
2. 确保密钥的data键名符合SecretsManager规范

密钥类型与data键名对照表：

| 密钥类型 | 必需data键 | |---------|-----------| | 基础认证 | username, password, auth | | CA证书 | ca.crt, ca.key | | 非CA证书 | tls.crt, tls.key | | Kubeconfig | kubeconfig |

实现细节解析

1. 数据源：以Kubernetes集群中的Secret为唯一真实源
2. 恢复机制：仅在Restore阶段使用ShootState中的持久化密钥
3. 性能优化：所有Secret标记为Immutable减少kubelet监听
4. 命名规则：
   • CA证书：保持配置名称（向后兼容）
   • 其他密钥：名称前缀+8位哈希（配置校验和+CA校验和）
   • 统一后缀：5位哈希（最近轮换时间）

最佳实践建议

1. 证书有效期：合理设置Validity和RenewAfterValidityPercentage
2. 轮换策略：
   • 关键服务证书采用KeepOld策略
   • 临时凭证可采用InPlace策略
3. 监控告警：监控密钥生成失败和即将过期事件
4. 测试验证：CA轮换场景需充分测试各组件兼容性

总结

Gardener的SecretsManager提供了一套完整的密钥管理解决方案，通过智能的自动续期、安全的轮换机制和可靠的持久化存储，大大简化了Kubernetes集群管理中的密钥管理复杂度。其设计充分考虑了各种边缘场景，特别是CA轮换期间的平滑过渡问题，是Gardener项目稳定性的重要保障。

gardener Homogeneous Kubernetes clusters at scale on any infrastructure using hosted control planes. 项目地址: https://gitcode.com/gh_mirrors/ga/gardener