使用 minikube 配置 apiserver 以使用加密配置答案

【问题标题】：Configure apiserver to use encryption config using minikube使用 minikube 配置 apiserver 以使用加密配置
【发布时间】：2019-06-11 20:07:33
【问题描述】：

我正在尝试配置 kube-apiserver，以便它使用加密来配置我的 minikube 集群中的机密。

为此，我遵循了documentation on kubernetes.io，但在第 3 步中卡住了

在kube-apiserver 上设置--encryption-provider-config 标志以指向配置文件的位置。

我在minikube start 上发现了--extra-config 选项，并尝试使用

minikube start --extra-config=apiserver.encryption-provider-config=encryptionConf.yaml

但它自然不起作用，因为 encryptionConf.yaml 位于我的本地文件系统中，而不是在 minikube 启动的 pod 中。 minikube log 给我的错误是

error: error opening encryption provider configuration file "encryptionConf.yaml": open encryptionConf.yaml: no such file or directory

将加密配置文件放到kube-apiserver 上的最佳做法是什么？或者minikube 可能是尝试这些事情的错误工具？

【问题讨论】：

【解决方案1】：

我自己在this GitHub issue 中找到了解决方案，他们在传递配置文件时遇到了类似的问题。对我有帮助的评论是利用 minikube VM 中的目录/var/lib/localkube/certs/ 安装到 apiserver 的事实的稍微有点 hacky 的解决方案。

所以我的最终解决方案是运行

minikube mount .:/var/lib/minikube/certs/hack

在当前目录中我有我的encryptionConf.yaml，然后像这样启动 minikube

minikube start --extra-config=apiserver.encryption-provider-config=/var/lib/minikube/certs/hack/encryptionConf.yaml

【讨论】：

这可能是一个加载的后续操作，但任何有权访问此 encryptionConf.yaml 的人基本上都可以解码其中的 base 64 以揭示您的秘密是否正确？或者，一旦你用这种方式启动 minikube，你可以删除 conf 文件吗？谢谢。

【解决方案2】：

根据使用的驱动程序，一些目录会挂载到您的 minikube 虚拟机上。检查此链接 - https://kubernetes.io/docs/setup/minikube/#mounted-host-folders

另外 ~/.minikube/files 也被挂载到虚拟机的 /files。因此，您可以将文件保留在那里并使用该路径进行 API 服务器配置

【讨论】：

感谢您的提示。我设法挂载了该文件，并且可以在我 ssh 进入 minikube VM 时验证它是否存在。但是，我仍然无法从 kube-apiserver pod 访问它，因为它没有安装在那里 - 仍然给我与上面相同的错误。

【解决方案3】：

我在 Windows 中遇到了关于文件路径位置的类似问题因为 C:\Users\%USERNAME%\ 默认安装在 minikube VM 中所以我将文件复制到桌面文件夹（C盘下的任何文件夹）

minikube --extra-config=apiserver.encryption-provider-config=/c/Users/%USERNAME%/.../<file-name>

希望这对在 Windows 平台上遇到此问题的人们有所帮助。

【讨论】：