21、Helm 的使用与安全保障

最新推荐文章于 2025-11-24 17:47:29 发布

raspberrypi5

最新推荐文章于 2025-11-24 17:47:29 发布

阅读量29

点赞数

CC 4.0 BY-SA版权

分类专栏： Helm实战：云原生部署精要文章标签： Helm Kubernetes 安全

本文链接：https://blog.youkuaiyun.com/raspberrypi5/article/details/152499891

Helm实战：云原生部署精要专栏收录该内容

23 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

Helm 的使用与安全保障

1. Helm 与 Kubernetes 环境清理

在 Kubernetes 环境中，Helm 是一个强大的工具，可帮助我们管理应用的部署。通过 Helm 图表，集群管理员可以轻松安装 Guestbook 操作符，但最终用户还需要创建自定义资源（CR）来部署 Guestbook 应用。

1.1 创建 Helm 图表

最终用户可以创建一个包装 Guestbook CR 的 Helm 图表，示例结构如下：

guestbook-cr
  Chart.yaml
  templates/
    guestbook.yaml
  values.yaml

其中， guestbook.yaml 模板可能包含由 operator-sdk CLI 最初生成的 Guestbook CR。与自定义资源定义（CRD）不同， templates/ 文件夹下的 CR 可以受益于 Go 模板和生命周期管理。

1.2 清理 Kubernetes 环境

当完成操作后，需要清理 Kubernetes 环境，步骤如下：
1. 删除 Guestbook CRD ：

$ kubectl delete crd guestbooks.charts.helm.k8s.io

删除 chapter8 命名空间 ：

$ kubectl delete ns chapter8

停止 Minikube VM ：

$ minikube stop

2. Helm 操作符的工作原理与优势

Helm 操作符有助于确保期望状态与实际状态始终匹配，使用户能够更轻松地维护资源配置的真实来源。其工作流程如下：
| 操作 | 描述 |
| ---- | ---- |
| 创建 CR | Helm 操作符将安装关联的 Helm 图表以创建新的版本。 |
| 修改 CR | 执行后续升级操作。 |
| 删除 CR | 卸载相应的版本。 |

为了管理操作符，集群管理员可以创建一个单独的 Helm 图表来创建操作符的资源和 CRD，最终用户也可以创建一个单独的 Helm 图表来创建操作符的 CR 以及其他相关资源。

3. Helm 安全考虑

Helm 虽然功能强大，但如果不遵循某些安全范式，可能会导致安全问题。以下是 Helm 安全方面的一些重要考虑。

3.1 技术要求

在进行 Helm 安全操作时，需要使用以下技术：
- minikube
- kubectl
- Helm
- GNU Privacy Guard (GPG)

如果尚未克隆 Packt 仓库中的 guestbook 图表，可以使用以下命令进行克隆：

$ git clone https://github.com/PacktPublishing/-Learn-Helm.git Learn-Helm

3.2 数据来源与完整性

在处理任何类型的数据时，需要考虑两个常被忽视的问题：
- 数据来源 ：数据是否来自可靠的来源或预期的来源？
- 数据完整性 ：数据是否包含预期的所有内容？

这两个问题可以通过数字签名来验证。作者可以使用 Pretty Good Privacy (PGP) 密钥对创建数字签名，消费者可以使用公钥来验证签名的真实性。

创建 PGP 密钥对的步骤如下：
1. 安装 GPG ：
- Windows ：

> choco install gnupg

也可以从 https://gpg4win.org/download.html 下载安装程序。
- macOS ：

$ brew install gpg

也可以从 https://sourceforge.net/p/gpgosx/docu/Download/ 下载安装程序。
- Debian 系 Linux ：

$ sudo apt install gnupg

- **RPM 系 Linux**：

$ sudo dnf install gnupg

生成密钥对 ：

$ gpg --generate-key

按照提示输入姓名和电子邮件地址 。
按 O 键继续 。
输入并确认私钥密码 。

生成密钥对后，输出将显示公钥和私钥的信息以及公钥的指纹。

4. 验证 Helm 下载

Helm 可以通过从 GitHub 下载存档进行安装，每个 Helm 版本都由维护者签名，可以通过数字签名验证下载的来源和完整性。验证步骤如下：
1. 下载 Helm 存档和对应的 .asc 文件 ：

# 下载 Helm 存档
# 下载对应的 .asc 文件，例如对于 AMD64 架构的 Linux 系统
$ wget https://github.com/helm/helm/releases/download/v3.0.0/helm-v3.0.0-linux-amd64.tar.gz
$ wget https://github.com/helm/helm/releases/download/v3.0.0/helm-v3.0.0-linux-amd64.tar.gz.asc

导入 Helm 维护者的公钥 ：

$ curl -o release_key.asc https://keybase.io/bacongobbler/pgp_keys.asc
$ gpg --import release_key.asc

验证 Helm 安装版本 ：

$ gpg --verify helm-v3.0.0-linux-amd64.tar.gz.asc

如果验证成功，但出现警告信息，表明密钥未经过认证，可以通过以下步骤进行认证：
1. 检查公钥指纹 ：确保输出中的公钥指纹的最后 64 位与 Helm 发布页面上显示的指纹匹配。
2. 签署公钥 ：

$ gpg --sign-key 92AA783CBAAE8E3B # 最后 64 位指纹

确认签署 ：在提示中输入 y 。

5. 签署和验证 Helm 图表

类似于 Helm 维护者签署版本，我们也可以签署自己的 Helm 图表，让用户验证图表的来源和完整性。

5.1 准备工作

如果使用 GPG 2 或更高版本，需要将公钥和私钥环导出为旧格式：
1. 检查 GPG 版本 ：

$ gpg --version

导出公钥和私钥环 ：

$ gpg --export > ~/.gnupg/pubring.gpg
$ gpg --export-secret-keys > ~/.gnupg/secring.gpg

5.2 签署 Helm 图表

使用 helm package 命令签署并打包 Guestbook Helm 图表：

$ helm package --sign --key '$KEY_NAME' --keyring ~/.gnupg/secring.gpg guestbook

其中， $KEY_NAME 可以是与所需密钥关联的电子邮件、姓名或指纹，可以使用 gpg --list-keys 命令查看。

签署并打包后，会生成两个文件：
- guestbook-1.0.0.tgz ：Helm 图表的存档。
- guestbook-1.0.0.tgz.prov ：证明文件，包含图表元数据、 guestbook-1.0.0.tgz 文件的 sha256 哈希值和 PGP 数字签名。

5.3 导出公钥

导出用于加密数字签名的私钥对应的公钥：

$ gpg --armor --export $KEY_NAME > pubkey.asc

如果公开发布 Guestbook 图表，可以将此公钥保存到可下载的位置，供用户在验证过程中使用。

6. 总结

通过以上步骤，我们了解了如何使用 Helm 管理 Kubernetes 环境中的应用部署，以及如何保障 Helm 下载和图表的安全性。在实际使用中，务必遵循安全最佳实践，确保数据的来源和完整性。同时，合理清理 Kubernetes 环境可以避免资源的浪费和潜在的安全风险。

以下是 Helm 安全操作的流程图：

graph LR
    A[安装 GPG] --> B[生成 GPG 密钥对]
    B --> C[下载 Helm 存档和 .asc 文件]
    C --> D[导入 Helm 维护者公钥]
    D --> E[验证 Helm 下载]
    E --> F{验证是否成功}
    F -- 是 --> G{是否有警告}
    F -- 否 --> H[检查错误]
    G -- 是 --> I[签署维护者公钥]
    G -- 否 --> J[完成验证]
    I --> J
    K[检查 GPG 版本] --> L{是否为 2 或更高版本}
    L -- 是 --> M[导出公钥和私钥环]
    L -- 否 --> N[无需导出]
    M --> O[签署 Helm 图表]
    N --> O
    O --> P[生成证明文件]
    P --> Q[导出公钥]

通过遵循这些步骤和最佳实践，我们可以更安全、高效地使用 Helm 进行 Kubernetes 应用的部署和管理。

Helm 的使用与安全保障

7. Helm 安全的其他考虑因素

除了数据来源与完整性验证之外，Helm 安全还涉及到基于角色的访问控制（RBAC）、值（values）管理以及图表仓库等方面。

7.1 基于角色的访问控制（RBAC）

在 Kubernetes 环境中，RBAC 是一种重要的安全机制，用于控制用户对资源的访问权限。在使用 Helm 时，也需要合理配置 RBAC 规则，以确保只有授权的用户能够执行特定的 Helm 操作。

例如，管理员可以创建一个角色，该角色只允许查看 Helm 版本和释放信息，但不允许安装或删除 Helm 图表：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: helm-viewer
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "list"]
- apiGroups: ["helm.fluxcd.io"]
  resources: ["helmreleases"]
  verbs: ["get", "list", "watch"]

然后，将该角色绑定到特定的用户或用户组：

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: helm-viewer-binding
subjects:
- kind: User
  name: guest
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: helm-viewer
  apiGroup: rbac.authorization.k8s.io

7.2 值（values）管理

Helm 图表中的 values.yaml 文件包含了图表部署时的配置参数。在管理这些值时，需要注意以下几点：
- 敏感信息保护 ：避免在 values.yaml 文件中明文存储敏感信息，如数据库密码、API 密钥等。可以使用 Kubernetes 的 Secret 对象来存储这些敏感信息，并在图表中引用。
- 版本控制 ：将 values.yaml 文件纳入版本控制系统，以便跟踪配置的变更历史。
- 验证和默认值 ：在图表中定义合理的默认值，并对用户提供的值进行验证，以确保配置的正确性。

7.3 图表仓库安全

图表仓库是存储和分发 Helm 图表的地方，确保图表仓库的安全至关重要。以下是一些建议：
- 使用受信任的仓库 ：只从受信任的来源下载 Helm 图表，避免使用不可信的公共仓库。
- 仓库认证 ：如果图表仓库需要认证，确保使用安全的认证方式，如用户名和密码、令牌等。
- 定期更新 ：定期更新图表仓库中的图表，以获取最新的安全补丁和功能改进。

8. 常见问题解答

以下是一些关于 Helm 使用和安全的常见问题解答：
| 问题 | 解答 |
| ---- | ---- |
| 如何创建一个 Helm 操作符？ | 可以通过创建一个 Helm 图表来定义操作符的资源和 CRD，然后使用 Helm 进行部署。 |
| Helm CLI 和基于 Helm 的操作符有什么区别？ | Helm CLI 是一个命令行工具，用于直接管理 Helm 图表的安装、升级和卸载。基于 Helm 的操作符则是一个自动化的控制器，用于根据自定义资源（CR）的状态来管理 Helm 版本的生命周期。 |
| 如何验证 Helm 下载的完整性？ | 可以下载对应的 .asc 文件，并使用 GPG 工具验证数字签名。具体步骤包括导入维护者的公钥，然后使用 gpg --verify 命令进行验证。 |
| 如何签署 Helm 图表？ | 首先需要创建 GPG 密钥对，然后使用 helm package --sign 命令签署图表，并指定密钥和密钥环的位置。签署后会生成一个证明文件，包含图表的元数据和数字签名。 |

9. 最佳实践总结

为了更安全、高效地使用 Helm，以下是一些最佳实践总结：
1. 使用数字签名 ：对 Helm 下载和图表进行数字签名验证，确保数据的来源和完整性。
2. 合理配置 RBAC ：根据用户的角色和职责，合理配置 RBAC 规则，限制对 Helm 资源的访问权限。
3. 保护敏感信息 ：避免在 values.yaml 文件中明文存储敏感信息，使用 Kubernetes 的 Secret 对象进行管理。
4. 定期更新 ：定期更新 Helm 工具、图表和依赖项，以获取最新的安全补丁和功能改进。
5. 备份和恢复 ：定期备份 Helm 版本和相关配置，以便在需要时进行恢复。

10. 未来展望

随着 Kubernetes 和 Helm 的不断发展，Helm 的安全功能也将不断完善。未来可能会出现更多的安全机制和工具，帮助用户更好地保护 Helm 环境的安全。例如，可能会有更智能的自动化安全审计工具，能够实时监测 Helm 操作的安全性，并提供及时的预警和建议。

同时，社区也将继续推动 Helm 安全最佳实践的普及和标准化，使得更多的用户能够轻松地遵循安全规范，避免常见的安全漏洞。

总之，通过不断学习和实践，我们可以更好地掌握 Helm 的安全使用方法，为 Kubernetes 应用的部署和管理提供更可靠的保障。

以下是 Helm 安全操作的总结流程图：

graph LR
    A[数据来源与完整性] --> B[数字签名验证]
    B --> C[Helm 下载验证]
    B --> D[Helm 图表签署]
    E[RBAC 配置] --> F[控制访问权限]
    G[值管理] --> H[保护敏感信息]
    I[图表仓库安全] --> J[使用受信任仓库]
    K[最佳实践] --> L[综合保障安全]
    C --> L
    D --> L
    F --> L
    H --> L
    J --> L

这个流程图展示了 Helm 安全操作的各个方面，包括数据验证、访问控制、值管理、仓库安全等，以及它们如何共同保障 Helm 环境的安全。通过遵循这些步骤和最佳实践，我们可以更安全、高效地使用 Helm 进行 Kubernetes 应用的部署和管理。