Bitnami Sealed Secrets 离线密钥轮换与解密实践

在Kubernetes集群中使用Sealed Secrets时，密钥轮换和离线解密是运维过程中的常见需求。本文将深入探讨如何在不直接访问集群的情况下，利用本地存储的密钥文件完成Sealed Secrets的重新加密和解密操作。

核心挑战

当我们需要轮换Sealed Secrets的主密钥时，传统方法要求直接访问Kubernetes集群执行kubeseal --re-encrypt命令。但在某些安全隔离环境下，集群访问受限，此时运维人员可能面临以下困境：

1. 无法直接连接集群执行密钥轮换
2. 原始未加密的Secret已丢失
3. 只有备份的旧密钥和新密钥文件可用

解决方案架构

Sealed Secrets提供了完善的离线操作方案，主要通过以下两个关键功能实现：

1. 离线解密功能

使用备份的私钥可以完全离线解密Sealed Secret：

kubeseal --recovery-unseal --recovery-private-key old.key < sealed-secret.yaml > secret.yaml

这个命令利用了RSA非对称加密的特性，使用私钥对已加密数据进行解密，无需连接Kubernetes API服务器。

2. 离线重新加密

解密获取原始Secret后，可以用新密钥重新加密：

kubeseal --cert new.pem --format yaml < secret.yaml > resealed-secret.yaml

完整工作流示例

1. 准备阶段：

   • 确保已备份旧密钥对（old.key/old.pem）
   • 已生成新密钥对（new.key/new.pem）
   • 获取需要轮换的SealedSecret YAML文件

2. 解密阶段：

   kubeseal --recovery-unseal --recovery-private-key old.key \
     < sealed-secret.yaml > decrypted-secret.yaml
   

3. 验证阶段：

   • 检查解密后的Secret内容是否正确
   • 必要时更新Secret内容

4. 重新加密阶段：

   kubeseal --cert new.pem --format yaml \
     < decrypted-secret.yaml > new-sealed-secret.yaml
   

5. 部署阶段：

   • 应用新的SealedSecret到集群
   • 确认应用运行正常

高级实践建议

1. 密钥安全管理：

   • 使用HSM或密钥管理服务保护私钥
   • 实施最小权限原则，严格控制密钥访问

2. 自动化集成：

   • 将密钥轮换流程纳入CI/CD流水线
   • 实现自动化的密钥轮换验证机制

3. 审计追踪：

   • 记录所有密钥轮换操作
   • 维护密钥版本与SealedSecret的映射关系

技术原理

Sealed Secrets采用非对称加密算法（默认RSA）保护数据：

• 加密时使用公钥（.pem证书文件）
• 解密时使用私钥（.key文件）
• 每个密钥对都有明确的版本标识

这种设计使得密钥轮换可以安全地离线进行，只要妥善保管私钥，就能确保数据在任何时候都可解密。

通过这套方案，运维团队可以在完全脱离生产环境的情况下，安全地完成Sealed Secrets的密钥轮换工作，既满足了安全合规要求，又保持了操作灵活性。