K3s项目S3凭证共享文件支持机制解析

背景概述

在Kubernetes生态系统中，K3s作为轻量级发行版广泛用于边缘计算和资源受限环境。其内置的etcd快照功能支持将备份存储到S3兼容对象存储，但在1.30版本之前存在凭证管理不够灵活的问题。

核心改进

最新发布的K3s 1.30.9版本实现了对AWS共享凭证文件的支持机制，这项改进主要包含两个关键特性：

1. 自动凭证发现：系统现在会自动加载~/.aws/credentials文件中的默认配置集，无需在每次执行快照命令时显式传递access_key和secret_key参数。

2. 会话令牌支持：新增--etcd-s3-session-token参数，允许使用临时安全凭证（STS Token），增强了在IAM角色切换场景下的安全性。

技术实现细节

凭证加载逻辑

当执行etcd-snapshot命令时，K3s会按以下顺序尝试获取凭证：

1. 检查命令行显式参数
2. 查找环境变量（AWS_ACCESS_KEY_ID等）
3. 读取共享凭证文件（默认路径为$HOME/.aws/credentials）
4. 尝试EC2实例元数据服务（适用于AWS EC2环境）

配置文件示例

典型的共享凭证文件格式如下：

[default]
aws_access_key_id = AKIAXXXXXXXXXXXXXXXX
aws_secret_access_key = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

实践验证

环境准备

在SUSE Linux Enterprise Server 15 SP5系统上：

1. 安装AWS CLI并配置默认凭证集
2. 设置K3s服务环境变量HOME=/root
3. 部署K3s v1.30.9版本

功能验证

成功执行以下操作证明功能正常：

k3s etcd-snapshot save --s3 --s3-bucket="my-bucket" --s3-region="us-east-2"

系统自动从共享凭证文件获取认证信息，无需在命令中暴露敏感凭证。

注意事项

1. 权限控制：确保K3s进程用户有权限读取.aws目录（通常需要600权限）
2. 多环境支持：通过设置AWS_PROFILE环境变量可指定非默认配置集
3. 混合认证：当同时提供命令行参数和共享凭证时，命令行参数具有更高优先级

典型应用场景

1. CI/CD流水线：在自动化部署中避免将凭证硬编码在脚本中
2. 开发测试环境：方便开发人员使用本地配置的测试凭证
3. 临时凭证场景：结合AWS STS服务实现临时权限控制

版本兼容性说明

该特性从K3s 1.30版本开始引入，旧版本若尝试使用--etcd-s3-session-token参数会收到"flag not defined"错误。建议需要此功能的环境升级到1.30.x或更新版本。