Elastic Cloud on Kubernetes中Kibana加密密钥的管理与迁移指南

在Elastic Cloud on Kubernetes（ECK）环境中运行Kibana时，加密密钥是确保数据安全性的关键组件。这些密钥主要用于保护Saved Objects、Reporting功能以及加密存储对象等敏感数据。当需要进行Kibana实例的横向扩展或跨集群迁移时，正确管理这些加密密钥尤为重要。

核心加密密钥类型

ECK自动为Kibana生成三种关键加密密钥：

1. 安全模块加密密钥（xpack.security.encryptionKey）：用于保护Kibana内部安全相关数据
2. 报表模块加密密钥（xpack.reporting.encryptionKey）：用于加密生成的报表数据
3. 加密存储对象密钥（xpack.encryptedSavedObjects.encryptionKey）：用于保护存储在Kibana中的加密对象

这些密钥由ECK Operator自动生成并持久化存储，即使在Operator或Elastic Stack版本升级后仍然保持不变，确保长期的数据一致性。

密钥存储机制

ECK将这些加密密钥安全地存储在Kubernetes的Secret资源中，具体位置如下：

• 每个Kibana实例都有对应的配置Secret
• Secret名称遵循<kibana-name>-kb-config的命名规范
• 密钥以明文形式存储在Secret内的kibana.yml配置文件中

密钥获取方法

要获取这些自动生成的加密密钥，可以通过以下命令查询对应的Kubernetes Secret：

kubectl get secret <kibana-name>-kb-config -o json | \
  jq -r '.data["kibana.yml"] | @base64d' | \
  yq .xpack.security.encryptionKey

将命令中的<kibana-name>替换为实际的Kibana实例名称，即可获取对应的加密密钥值。同样的方法适用于获取其他两种加密密钥，只需修改yq查询路径即可。

密钥使用场景

1. 横向扩展场景：当需要增加Kibana实例数量时，必须确保所有实例使用相同的加密密钥，否则新实例将无法解密现有数据。

2. 跨集群迁移：将Kibana数据迁移到新集群时，必须在目标集群中使用相同的加密密钥配置，否则迁移的Saved Objects等数据将无法解密。

3. 灾难恢复：在恢复场景下，使用原始加密密钥可以确保恢复的数据能够被正确解密和使用。

安全注意事项

1. 这些加密密钥属于高度敏感信息，应当妥善保管
2. 在非必要情况下不应直接修改这些密钥
3. 密钥轮换需要特殊处理，建议参考官方文档制定详细方案
4. 避免将这些密钥包含在诊断信息或日志中

通过理解ECK中Kibana加密密钥的管理机制，运维人员可以更安全有效地进行集群扩展和迁移操作，确保业务连续性和数据安全性。