Helm-Secrets与ArgoCD集成实践:解决AWS Secrets Manager密钥获取问题
背景介绍
在现代云原生应用部署中,密钥管理是至关重要的环节。Helm-Secrets作为Helm的插件,能够帮助用户安全地管理敏感信息。本文将以一个实际案例为基础,详细介绍如何解决Helm-Secrets与ArgoCD集成时遇到的AWS Secrets Manager密钥获取问题。
问题现象
在将部署迁移到AWS EKS上的ArgoCD时,发现通过Helm-Secrets使用vals后端从AWS Secrets Manager获取的密钥未能正确解析。具体表现为:
- 在values文件中定义的AWS Secrets Manager引用(如
ref+awssecrets://gts-argocd-ci-dev#/sonarqube_jdbc_url
)被直接作为字符串值使用,而不是获取实际的密钥值 - 当通过Helm参数直接传递时能够正常工作,但在values文件中定义时失效
解决方案探索
1. 验证基础配置
首先需要确保ArgoCD Repo Server的正确配置。通过Kustomize对argocd-repo-server进行补丁,关键配置包括:
- 设置HELM_PLUGINS环境变量指向共享卷
- 配置vals相关工具路径(sops、vals、kubectl等)
- 明确指定使用vals作为后端
- 通过initContainer下载并安装所需工具
2. 权限配置
确保为argocd-server和argocd-repo-server的服务账户配置了正确的AWS IAM角色(IRSA),这是访问AWS Secrets Manager的前提条件。
3. 两种引用方式的差异
测试发现两种引用方式表现不同:
方式一:通过Helm参数传递
helm:
parameters:
- name: jdbc_url
value: secrets+literal://ref+awssecrets://gts-argocd-ci-dev#/sonarqube_jdbc_url
这种方式能够正常工作,成功获取AWS Secrets Manager中的值。
方式二:在values文件中定义
jdbc_url: secrets+literal://ref+awssecrets://gts-argocd-ci-dev#/sonarqube_jdbc_url
这种方式未能正确解析,直接输出引用字符串。
4. 最终解决方案
通过将AWS Secrets Manager引用作为附加源(additional source)引入,成功实现了在values文件中使用ref+awssecrets引用的功能。
实践建议
-
配置一致性:注意ArgoCD Dockerfile中vals后端与values方法中sops后端的配置差异,确保前后端配置一致。
-
权限验证:在部署前,建议通过临时Pod验证服务账户是否具备访问AWS Secrets Manager的权限。
-
引用方式选择:根据实际需求选择合适的引用方式,直接参数传递方式更为可靠。
-
测试验证:在正式部署前,建议在argocd-repo-server中手动执行helm命令验证密钥获取功能是否正常。
经验总结
通过本次实践,我们深入理解了Helm-Secrets与ArgoCD集成的关键点:
- 工具链配置必须完整且路径正确
- AWS权限配置是访问Secrets Manager的关键
- 不同的引用方式可能有不同的行为表现
- 文档与实际实现可能存在差异,需要灵活调整
这些经验对于其他类似场景的云原生密钥管理具有参考价值,特别是在使用ArgoCD进行GitOps实践时,正确处理密钥引用是确保部署安全可靠的重要环节。
- DDeepSeek-V3.1-BaseDeepSeek-V3.1 是一款支持思考模式与非思考模式的混合模型Python00
- QQwen-Image-Edit基于200亿参数Qwen-Image构建,Qwen-Image-Edit实现精准文本渲染与图像编辑,融合语义与外观控制能力Jinja00
GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~042CommonUtilLibrary
快速开发工具类收集,史上最全的开发工具类,欢迎Follow、Fork、StarJava04GitCode百大开源项目
GitCode百大计划旨在表彰GitCode平台上积极推动项目社区化,拥有广泛影响力的G-Star项目,入选项目不仅代表了GitCode开源生态的蓬勃发展,也反映了当下开源行业的发展趋势。06GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00openHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!C0298- WWan2.2-S2V-14B【Wan2.2 全新发布|更强画质,更快生成】新一代视频生成模型 Wan2.2,创新采用MoE架构,实现电影级美学与复杂运动控制,支持720P高清文本/图像生成视频,消费级显卡即可流畅运行,性能达业界领先水平Python00
- GGLM-4.5-AirGLM-4.5 系列模型是专为智能体设计的基础模型。GLM-4.5拥有 3550 亿总参数量,其中 320 亿活跃参数;GLM-4.5-Air采用更紧凑的设计,拥有 1060 亿总参数量,其中 120 亿活跃参数。GLM-4.5模型统一了推理、编码和智能体能力,以满足智能体应用的复杂需求Jinja00
Yi-Coder
Yi Coder 编程模型,小而强大的编程助手HTML013
热门内容推荐
最新内容推荐
项目优选









