23、Helm 安全与仓库访问全解析

最新推荐文章于 2025-11-02 21:49:18 发布

raspberrypi5

最新推荐文章于 2025-11-02 21:49:18 发布

阅读量25

点赞数

CC 4.0 BY-SA版权

分类专栏： Helm实战：云原生部署精要文章标签： Helm Kubernetes RBAC

本文链接：https://blog.youkuaiyun.com/raspberrypi5/article/details/152499912

Helm实战：云原生部署精要专栏收录该内容

23 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

Helm 安全与仓库访问全解析

1. 权限验证与资源访问确认

在使用 Helm 和 Kubernetes 时，我们需要确保服务账户的权限符合预期。可以通过以下操作来确认服务账户的权限：
- 执行命令 kubectl can-i list deployments --as=system:serviceaccount:guestbook:guestbook -n chapter9 ，如果输出为 yes ，则表示服务账户具有相应权限；若输出为 no ，则符合预期的权限策略。
- 若要删除 Helm 版本，可以使用 helm uninstall my-guestbook -n chapter9 命令。
- 若不再需要 Minikube 实例，可以使用 minikube stop 命令停止它。

Kubernetes 的基于角色的访问控制（RBAC）能够为 Helm 图表开发者提供实施最小权限访问的工具，保护用户和应用程序免受潜在的错误或恶意操作。

2. 访问安全的图表仓库

图表仓库允许我们发现 Helm 图表并将其安装到 Kubernetes 集群中。它本质上是一个 HTTP 服务器，包含一个 index.yaml 文件，其中包含仓库中图表的元数据。虽然之前使用的许多仓库是公开可用的，但 Helm 支持添加额外的安全措施来保护仓库中的内容，主要包括认证和 SSL/TLS 加密。

2.1 认证方式

基本认证 ：当添加受基本认证保护的仓库时，可以使用 helm repo add 命令，并通过 --username 和 --password 标志提供用户名和密码。示例命令如下：

$ helm repo add $REPO_URL --username=<username> --password=<password>

添加后，后续与该仓库交互时无需重复提供凭证。
- 基于证书的认证 ： helm repo add 命令提供了 --ca-file 、 --cert-file 和 --key-file 标志。 --ca-file 用于验证图表仓库的证书颁发机构， --cert-file 和 --key-file 分别用于指定客户端证书和密钥。不同的仓库实现对认证的配置方式不同，例如流行的 ChartMuseum 仓库，在启动时可以使用 --basic-auth-user 和 --basic-auth-pass 标志配置基本认证的用户名和密码，使用 --tls-ca-cert 标志配置基于证书认证的证书颁发机构（CA）证书。其他仓库可能需要提供不同的标志或配置文件。

2.2 SSL/TLS 加密

即使进行了认证，确保 HTTP 服务器和 Helm 客户端之间的传输安全也很重要。可以使用基于 SSL/TLS 的加密来保护 Helm 客户端和图表仓库之间的通信。对于需要证书认证的仓库，这是必需的；对于需要基本认证的仓库和未认证的仓库，加密网络流量也能保护认证尝试和仓库内容。不同的仓库实现对 TLS 的配置方式不同，ChartMuseum 提供 --tls-cert 和 --tls-key 标志来提供证书链和密钥文件，而像 NGINX 这样的通用 Web 服务器通常需要一个配置文件来指定服务器上证书和密钥文件的位置。GitHub Pages 等服务已经配置了 TLS。

3. 处理自定义 CA 证书

许多大型组织使用自己的证书颁发机构（CA）来生成图表仓库的证书。由于这些证书可能不是由公开可用的 CA 签名的，Helm CLI 可能不信任这些证书，添加仓库时会出现错误：

Error: looks like '$REPO_URL' is not a valid chart repository 
or cannot be reached: Get $REPO_URL/index.yaml: x509: 
certificate signed by unknown authority

为了让 Helm CLI 信任图表仓库的证书，可以将 CA 证书或包含多个证书的 CA 包添加到操作系统的信任存储中，或者在 helm repo add 命令中使用 --ca-file 标志显式指定。

4. 其他安全增强措施

根据图表仓库的配置，还可以获取额外的指标来执行请求级别的审计和日志记录，以确定谁尝试访问了仓库。通过使用认证和管理传输层的证书，可以增强 Helm 仓库的安全性能。

5. Helm 相关问题解答

以下是一些常见问题及其解答：
|问题|解答|
|----|----|
|什么是数据来源和完整性？它们有什么区别？|数据来源指数据的起源和历史，完整性指数据的准确性和一致性。数据来源侧重于数据的出处，完整性侧重于数据的质量。|
|若要证明 Helm 下载的数据来源和完整性，除了发布存档，用户还需要从 Helm 的 GitHub 发布页面下载什么文件？|需要下载签名文件。|
|用户可以运行哪些命令来验证 Helm 图表的数据来源和完整性？|使用 helm verify 命令。|
|作为 Helm 图表开发者，如何确保部署稳定的容器镜像？|使用固定版本的镜像，定期更新镜像，进行镜像扫描等。|
|为什么在 Helm 图表中设置资源限制很重要？还有哪些 Kubernetes 资源可用于配置 Pod 和命名空间的资源限制？|设置资源限制可以防止资源过度使用，保证系统的稳定性。可以使用 LimitRange 和 ResourceQuota 资源。|
|什么是最小权限访问的概念？哪些 Kubernetes 资源允许配置授权并帮助实现最小权限访问？|最小权限访问指只授予用户执行任务所需的最小权限。可以使用 Role、ClusterRole、RoleBinding 和 ClusterRoleBinding 资源。|
|可以使用什么命令和标志集对图表仓库进行认证？|基本认证使用 helm repo add $REPO_URL --username=<username> --password=<password> ；基于证书的认证使用 helm repo add $REPO_URL --ca-file=ca.crt --cert-file=cert.pem --key-file=key.pem 。|

6. 不同章节相关知识点回顾

以下是不同章节涉及的 Helm 和 Kubernetes 相关知识点，以表格形式呈现：
|章节|知识点|
|----|----|
|第 1 章| - 单体应用和微服务的概念
- Kubernetes 是容器编排工具，解决工作负载调度、可用性和可扩展性问题
- 常见的 Kubernetes 命令：create、describe、edit、delete、apply
- Helm 的四个生命周期命令：Install、Upgrade、Rollback、Uninstall，以及其优势|
|第 2 章| - Windows 和 Mac 用户分别使用 Chocolatey 和 Homebrew 安装 Helm，也可从 GitHub 发布页面安装
- Helm 使用本地 kubeconfig 文件进行认证
- Kubernetes 角色通过 RoleBinding 提供授权
- 使用 helm repo add 命令配置 Helm 图表仓库
- Helm 使用的三个 XDG 环境变量：XDG_CACHE_HOME、XDG_CONFIG_HOME、XDG_DATA_HOME
- Minikube 可创建单节点 Kubernetes 集群，自动配置 Kubeconfig 并赋予用户 cluster-admin 权限|
|第 3 章| - Helm Hub 是上游图表仓库的集中位置，可通过 helm search hub 命令或访问网站交互
- helm get 命令获取已安装 Helm 版本的详细信息， helm show 命令显示 Helm 图表的一般信息|
|第 4 章| - Helm 图表常用 YAML 格式，也可用 JSON
- 图表的三个必需字段：apiVersion、name、version
- 引用或覆盖图表依赖值的方法
- 创建升级钩子确保数据快照
- 提供 README.md、templates/NOTES.txt 和 LICENSE 文件的作用
- range 动作可生成重复的 YAML 部分
- Chart.yaml 定义图表元数据，Chart.lock 保存图表依赖状态
- 使用 helm.sh/hook 注解定义钩子资源
- 函数和管道可在模板中进行复杂的数据处理和格式化|
|第 5 章| - 使用 helm create 命令创建新的 Helm 图表
- 声明 Redis 依赖可避免创建 Redis 模板
- 使用 helm.sh/hook-weight 注解设置钩子执行顺序
- fail 函数用于立即失败渲染，required 函数声明必需值
- 发布 Helm 图表到 GitHub Pages 仓库的步骤：使用 helm package 打包，使用 helm repo index 生成索引文件，推送到 GitHub
- index.yaml 文件包含仓库中图表的元数据|
|第 6 章| - 使用 helm template 命令本地生成 Helm 模板， helm lint 命令检查图表结构和定义文件的错误
- 验证图表模板的方法：使用 helm template 本地生成 YAML 资源，使用 --verify 标志检查，使用 helm install --dry-run 命令检查
- 可使用 yamllint 工具检查 YAML 资源的风格
- 创建带有 helm.sh/hook: test 注解的图表模板作为测试，使用 helm test 命令执行测试
- Chart Testing (ct) 工具可帮助测试 Helm 图表
- ci/ 文件夹用于测试不同的 Helm 值组合
- 添加 --upgrade 标志可确保未增加主版本号的图表没有回归问题|
|第 7 章| - CI 是软件变更时可重复的自动化开发过程，CD 是软件发布流程的步骤集合
- CI/CD 描述软件开发和发布过程，GitOps 指将配置存储在 Git 中
- CI 管道可对 Helm 图表进行 lint、安装、测试、打包和部署，对于 GitHub Pages 仓库，需生成 index.yaml 文件并推送内容
- CI 可帮助快速测试和发布图表，防止新功能引入回归问题
- CD 管道将 Helm 图表部署到不同环境，每次部署后可使用 helm test 命令进行冒烟测试
- CD 管道可避免手动执行 Helm CLI 命令时的人为错误
- 使用不同文件夹分离不同环境的 values 文件，保存通用 values 文件以减少样板代码|
|第 8 章| - 运算符通过自定义控制器和自定义资源工作，新的自定义资源创建或修改时触发控制器逻辑，通常用于安装和管理应用程序的生命周期
- 使用 Helm CLI 时需手动执行 install、upgrade、rollback 和 uninstall 命令，使用基于 Helm 的运算符时，这些命令会在创建、修改或删除自定义资源时自动执行，无需本地运行 Helm CLI 命令|

通过以上内容，我们对 Helm 的安全考虑、图表仓库的访问以及相关的操作和概念有了更深入的了解，能够更好地创建安全的 Helm 架构和工作环境。

7. Helm 操作流程总结

为了更清晰地展示 Helm 的主要操作流程，下面通过 mermaid 流程图进行说明：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px

    A([开始]):::startend --> B{选择操作类型}:::decision
    B -->|安装 Helm| C(选择安装方式):::process
    C -->|Windows/Mac| D(使用 Chocolatey/Homebrew 安装):::process
    C -->|通用| E(从 GitHub 发布页面安装):::process
    B -->|操作 Helm 图表| F(配置图表仓库):::process
    F --> G(使用 helm repo add 命令):::process
    B -->|部署应用| H(选择部署方式):::process
    H -->|使用 Helm CLI| I(执行 install/upgrade/rollback/uninstall 命令):::process
    H -->|使用 Helm 运算符| J(创建/修改/删除自定义资源):::process
    B -->|测试 Helm 图表| K(选择测试工具):::process
    K -->|本地测试| L(使用 helm template/helm lint 命令):::process
    K -->|自动化测试| M(使用 Chart Testing 工具):::process
    B -->|安全配置| N(配置图表仓库安全):::process
    N -->|认证方式| O{选择认证类型}:::decision
    O -->|基本认证| P(使用 --username 和 --password 标志):::process
    O -->|基于证书的认证| Q(使用 --ca-file、--cert-file 和 --key-file 标志):::process
    N -->|SSL/TLS 加密| R(根据仓库实现配置):::process
    D --> S([结束]):::startend
    E --> S
    G --> S
    I --> S
    J --> S
    L --> S
    M --> S
    P --> S
    Q --> S
    R --> S

这个流程图涵盖了 Helm 的主要操作，包括安装、图表操作、部署、测试和安全配置等方面，帮助我们更直观地理解 Helm 的使用流程。

8. 不同操作的详细步骤分析

以下是对 Helm 一些关键操作的详细步骤分析：

8.1 安装 Helm

Windows/Mac 用户 ：
1. 在 Windows 上，使用 Chocolatey 包管理器，打开 PowerShell 并以管理员身份运行，执行命令 choco install kubernetes-helm 。
2. 在 Mac 上，使用 Homebrew 包管理器，打开终端并执行命令 brew install helm 。
通用方式 ：
1. 访问 Helm 的 GitHub 发布页面：https://github.com/helm/helm/releases。
2. 下载适合你操作系统的二进制文件。
3. 解压下载的文件，并将 helm 可执行文件添加到系统的环境变量中。

8.2 配置图表仓库

执行 helm repo add 命令，例如添加一个公共仓库：

$ helm repo add stable https://charts.helm.sh/stable

如果是需要认证的仓库，根据认证类型添加相应的标志：
- 基本认证：

$ helm repo add $REPO_URL --username=<username> --password=<password>

- 基于证书的认证：

$ helm repo add $REPO_URL --ca-file=ca.crt --cert-file=cert.pem --key-file=key.pem

8.3 部署应用

使用 Helm CLI ：
1. 安装应用：

$ helm install my-release stable/nginx

2. 升级应用：

$ helm upgrade my-release stable/nginx

3. 回滚应用：

$ helm rollback my-release <revision>

4. 卸载应用：

$ helm uninstall my-release

使用 Helm 运算符 ：
1. 定义自定义资源（CR），描述应用的配置。
2. 创建、修改或删除 CR，Helm 运算符会自动执行相应的 Helm 命令。

8.4 测试 Helm 图表

本地测试 ：
1. 使用 helm template 命令生成 YAML 资源：

$ helm template my-test test-chart

2. 使用 `helm lint` 命令检查图表结构和定义文件的错误：

$ helm lint test-chart

自动化测试 ：
1. 安装 Chart Testing 工具。
2. 配置测试环境和测试规则。
3. 执行测试命令：

$ ct lint-and-install

9. 总结与建议

通过对 Helm 的安全、操作流程和详细步骤的分析，我们可以得出以下结论和建议：

安全方面 ：
- 始终使用认证和 SSL/TLS 加密来保护图表仓库，特别是在处理敏感信息时。
- 对于使用自定义 CA 证书的仓库，及时将 CA 证书添加到信任存储或在命令中显式指定。
- 定期进行请求级别的审计和日志记录，以发现潜在的安全问题。
操作方面 ：
- 熟悉 Helm 的各种命令和标志，根据不同的场景选择合适的操作方式。
- 在开发和测试过程中，充分利用自动化工具，如 Chart Testing 工具，提高效率和质量。
- 对于复杂的应用部署，考虑使用 Helm 运算符，实现自动化的生命周期管理。

通过遵循这些建议，我们可以更好地使用 Helm，创建安全、稳定的 Kubernetes 应用环境。

综上所述，全面了解 Helm 的安全机制、操作流程和相关知识点，能够帮助我们在实际项目中更加高效、安全地使用 Helm，提升 Kubernetes 应用的部署和管理能力。希望本文对大家理解和应用 Helm 有所帮助。