Fleet项目中使用Secret安全存储OCI存储连接信息的技术解析

引言

在现代云原生应用部署中，安全地管理容器镜像仓库的认证信息至关重要。Fleet项目作为Rancher生态中的关键组件，近期实现了通过Kubernetes Secret来安全存储OCI(Open Container Initiative)存储连接信息的功能。本文将深入解析这一技术实现，帮助开发者理解其工作原理和最佳实践。

OCI存储连接信息的安全存储机制

Fleet项目通过两种类型的Secret来管理OCI注册表的连接细节：

1. 默认Secret：为特定命名空间配置的全局默认Secret
2. 用户自定义Secret：通过GitRepo资源中的spec.ociRegistrySecret字段显式引用的Secret

当两者同时存在时，用户自定义Secret具有更高的优先级。这种设计既提供了全局默认配置的便利性，又保留了特定场景下的灵活性。

Secret的增强设计

Fleet对标准Kubernetes Secret进行了功能扩展，增加了两个特殊字段：

• agentUsername：用于读取操作的专用用户名
• agentPassword：用于读取操作的专用密码

这种设计实现了读写权限分离：

• 常规的username和password字段用于完整的读写操作
• agentUsername和agentPassword则专门用于只读场景

安全验证机制

Fleet实现了严格的安全验证措施：

1. 完整性校验：下载的每个manifest都必须包含预期的SHA校验值，否则将被拒绝
2. 认证失败处理：当提供的凭证无效时，系统会记录详细的事件信息
3. 权限控制：支持不同级别的访问权限（读取、写入、删除）

实际应用场景分析

典型部署流程

1. 创建包含OCI凭证的Secret资源
2. 配置GitRepo资源引用该Secret
3. Fleet控制器使用Secret中的凭证访问OCI存储
4. 下载并验证bundle资源
5. 部署应用到目标集群

权限管理实践

通过不同的用户凭证可以实现精细化的权限控制：

• 完全权限用户：可读、可写、可删除
• 只读用户：仅能读取内容
• 受限写入用户：可读可写但不能删除

这种设计特别适合需要遵循最小权限原则的企业环境。

技术实现细节

Secret的同步机制

Fleet创建Secret时，会在两个位置生成相同的Secret资源：

1. 在fleet-local命名空间（控制平面）
2. 在对应的集群命名空间中

这种双副本设计确保了无论控制器还是agent都能访问到所需的凭证信息。

垃圾回收机制

当GitRepo资源被删除时：

1. 如果使用具有删除权限的Secret，相关OCI存储内容会被清理
2. 如果使用无删除权限的Secret，内容会保留在OCI存储中
3. 切换为不使用Secret后，垃圾收集器会负责清理残留内容

最佳实践建议

1. 生产环境：建议使用具有完整权限的专用账户
2. 审计场景：可使用只读账户进行安全审计
3. CI/CD流水线：根据阶段使用不同权限的账户
4. 密钥轮换：定期更新Secret中的凭证信息
5. 监控：关注与OCI存储相关的事件日志

总结

Fleet项目通过创新的Secret管理机制，为OCI存储集成提供了企业级的安全保障。这种实现不仅解决了凭证的安全存储问题，还通过灵活的权限控制和完整性验证，为云原生应用部署提供了可靠的基础设施支持。开发者可以根据实际需求，选择最适合的Secret配置策略，在便利性和安全性之间取得平衡。