Flux2中使用SOPS-AGE解密Kubernetes密钥的配置要点

在Kubernetes集群中管理敏感信息时，Flux2与SOPS-AGE的集成提供了一种安全的加密解密方案。本文将深入解析配置过程中的关键注意事项，帮助开发者避免常见陷阱。

核心问题现象

当用户按照常规方式创建sops-age密钥后，Flux2的kustomize-controller可能会报出"cannot get sops data key"错误。日志显示控制器尝试从默认路径/.config/sops/age/keys.txt读取密钥，而实际上密钥已存储在Kubernetes的Secret资源中。

根本原因分析

Flux2对AGE密钥的识别机制有特殊要求：

1. Secret中的密钥数据必须以.agekey作为扩展名
2. 密钥名称可以自定义，但必须包含这个特定后缀
3. 默认的age.key文件名不符合识别规则

正确配置方法

1. 创建Secret的正确姿势

通过kubectl创建Secret时，必须显式指定.agekey后缀：

kubectl -n flux-system create secret generic sops-age \
  --from-file=custom-name.agekey=/path/to/age.key

2. 多密钥支持机制

Flux2支持在单个Secret中存储多个AGE密钥：

• 可以包含多个.agekey后缀的文件
• 每个密钥可以有不同的前缀名称
• 控制器会自动尝试所有可用密钥进行解密

3. Kustomization配置验证

确保kustomization.yaml中的解密配置正确指向Secret：

spec:
  decryption:
    provider: sops
    secretRef:
      name: sops-age  # 必须与创建的Secret名称一致

最佳实践建议

1. 命名一致性：建议团队统一采用flux.agekey等有意义的名称
2. 密钥轮换：添加新密钥时保留旧密钥，确保无缝过渡
3. 权限控制：严格限制对sops-age Secret的访问权限
4. 测试验证：先在本地使用sops命令行工具测试解密功能

故障排查指南

当遇到解密失败时，可按照以下步骤检查：

1. 确认Secret中密钥的扩展名正确
2. 验证密钥内容是否完整无损坏
3. 检查kustomize-controller日志中的详细错误信息
4. 确保集群中的Flux2组件版本兼容

通过理解这些关键配置点，开发者可以更可靠地在Flux2中实现安全的密钥管理方案。记住，安全工具的细微配置差异往往会导致功能失效，精确遵循规范至关重要。