В продолжение поста Helm: пошаговое создание чарта и деплоймента из Jenkins – теперь нам надо добавить шифрование данных, что бы не хранить пароли и различные приватные ключи в открытом виде в Github-репозиториях – даже пусть и приватных.

Судя по гуглу, чуть ли не единственный вариант – это использование helm-secrets (а подскажите в комментариях – кто чем ещё пользуется?).

Из плюшек – возможность работать с ключами из AWS KMS, и автоматом подставлять данные в шаблоны.

Суть простая: берёт GPG/PGP/KMS ключ, им шифруется файл. Всё 🙂

Под капотом использует Mozilla SOPS (SOPS – Secrets OPerationS).

Что выполним – установим плагин, создадим AWS KMS ключ, создадим файл с паролем, обновим уже задеплоенный хельм-релиз.

В конце – добавим работу с плагином Jenkins-джобу из предыдущего поста.

helm-secrets

Переходим в репозиторий, в каталог с файлами чарта:

Установка

helm-secrets & sops на Arch Linux

Вообще установка должна выполняться через helm plugin – но на Arch Linux не сработало.

Сначала ругнулось на права:

Потом ещё раз на права – да и устанвавливать от sudo в /root – бред:

Потому – ставим сам sops из AUR:

И читаем документацию по helm plugin – куда он вообще устанвливает файлы плагинов?

$XDG_DATA_HOME/helm/plugins – ага.

$XDG_DATA_HOME должен вести на $HOME/.local/share – проверяем:

Смотрим содержимое:

В общем-то вся работа плагина построена на bash-скриптах. Прелестно.

Сами скрипты описаны в документации Moving parts of project.

Ладно.

Что плагин вообще выполняет, какие действия?

Читаем файл plugin.yaml:

command: "$HELM_PLUGIN_DIR/secrets.sh" – ага…

Посмотрим скрипт secrets.sh:

21-й век – мы полагаемся на километровый баш-скрипт для работы с важными данными.

Окей… Прелестно.

Настройка шифрования

За настройку ключей используемых для encrypt/decrypt действий отвечает файл .sops.yaml в каталоге чарта.

Примеры настроек – Using .sops.yaml conf to select KMS/PGP for new files.

Переходим к созданию ключа, которым будем шифровать наши данные.

AWS KMS

Документация – https://aws.amazon.com/ru/kms/getting-started.

Создаём KMS ключ, тип – дефолтный, симетричный (см. Using symmetric and asymmetric keys):

Задаём его администратора:

Далее надо добавить пользователей, у которых будет доступ к ключу.

Так как мы будем использовать файл из Jenkins, который работает на EC2 и доступ в AWS получает через свой EC2 Instance Profile – то надо добавить роль, которая используется им для аутентификации и авторизации в нашем AWS-аккаунте.

Находим профиль:

Находим, и подключаем её:

Подтверждаем сгенерированную политику:

Кстати:

...
            "Principal": {
                "AWS": "arn:aws:iam::534***385:root"
            },
            "Action": "kms:*",
            "Resource": "*"
...

ARN arn:aws:iam::534***385:root указывает на всех пользователей AWS-аккаунта, насколько я помню из поста AWS Elastic Kubernetes Service: RBAC-авторизация через AWS IAM и RBAC группы.

И таки да – у коллеги доступ к ключу есть, хотя явно user-прав ему не назначал. Окей – имеем это ввиду.

Ключ готов:

.sops.yaml config

В корне каталога с файлами чарта создаём файл .sops.yaml – это файл настроек для SOPS, который он будет использовать для работы с нашими секретами.

В примерах есть варианты использования различных ключей для различных файлов секретов – можно использовать различные ключи для различных файлов.

Пока используем один дефолтный для всех – создаём правило:

---
creation_rules:
  - kms: 'arn:aws:kms:eu-west-1:534***385:key/620b89fe-***-25b435611e8b'

Файл секретов

В каталоге чарта bttrm-apps-backend создаём файл для паролей – secrets.yaml.

Тут есть подводный камень, на который я напоролся – по-умолчанию helm-secrets будет искать файл по маске secrets.*.yaml – см. Usage and examples:

By convention, files containing secrets are named secrets.yaml, or anything beginning with “secrets.” and ending with “.yaml”. E.g. secrets.test.yaml and secrets.prod.yaml.

Т.е. назвать файл passwords.yaml – не вариант, по крайней мере без подолнительных телодвижений.

Итак, сейчас в файле values.yaml имеются пароли открытым текстом:

...
image:
  registry: "docker.io"
  username: "bttrm"
  password: "pass"
  repository: "bttrm"
  name: "bttrm-apps"
  tag: "120"
...

Вырезаем из values.yaml строку image.password – переносим в файл secrets.yaml:

image:
  password: "pass"

Или, что бы сделать тут пример более простым и наглядным – добавляем в secrets.yaml новое значение, например:

test:
    secret: testecret

И создаём манифест Kubernetes Secret, в моём случае они создаётся из шаблона bttrm-apps-backend/templates/bttrm-apps-secrets.yaml, где bttrm-apps-backend – каталог чарта:

---
apiVersion: v1
kind: Secret
metadata:
  name: test-secret
type: Opaque
stringData:
  example-secret: {{ .Values.test.secret }}

В stringData обращаемся к .Values, как обычно.

helm secrets – AccessDeniedException

Шифруем файл секретов:

А, окей.

Проблема, собственно, ясна сразу – SOPS пытается обратиться к AWS, используя default профиль из ~/.aws/credentials, в котором у меня записан мой личный аккаунт AWS, а не рабочий.

Можно добавить aws_profile в .sops.yaml:

---
creation_rules:
  - kms: 'arn:aws:kms:eu-west-1:534***385:key/620b89fe-***-25b435611e8b'
    aws_profile: 'arseniy'

Но тогда этот же профиль будет использоваться при деплое чарта из Jenkins.

Поэтому – задаём профиль переменной окружения:

И ещё раз пробуем зашифровать данные в чарте bttrm-apps-backend:

Проверяем содержимое secrets.yaml теперь:

image:
    password: ENC[AES256_GCM,data:1t7 .. PyY,iv:9mzTyB ... 9KG7+Hg=,tag:6KJ ... gvA==,type:str]
test:
    secret: ENC[AES256_GCM,data:l4c ... vCy,iv:9riw ... 0fvQ=,tag:G3p ... oSw==,type:str]
sops:
    kms:
    -   arn: arn:aws:kms:eu-west-1:534***385:key/620b89fe- ... -25b435611e8b
        created_at: '2020-05-15T06:33:44Z'
        enc: AQICAHj9F0HBsgu ... kb6GOxJkiOMZSSxOtA==
...

В строках image.password и test.secret теперь содержатся зашифрованные значения, а затем – описание того, как SOPS его шифровал.

Просмотреть содержимое можно с помощью view:

Отредактировать файл – с помощью edit:

Test deploy

Что бы задеплоить – просто вызываем helm c install или upgrade, или как в нашем случае в Jenkins – upgrade --install, но добавляем secrets – helm вызовет скрипт secrets.sh, который выполнит всю работу:

Тут может быть интересно посмотреть процессы, которые запускаются во время вызова helm secrets upgrade:

Т.е:

1. мы вызываем helm secrets upgrade
2. затем вызывается bash /home/setevoy/.local/share/helm/plugins/helm-secrets/secrets.sh upgrade
3. который вызывает helm upgrade

Проверяем наш секрет в Kubernetes:

И значение dGVzdGVjcmV0:

Переходим к Jenkins.

Jenkins

Теперь надо всё это добавить в Jenkinsfile, который писали в предыдущем посте.

Если сейчас удалить релиз:

А потом попробовать задеплоить его заново из Jenkins – то получим ошибку, т.к. helm не сможет получить данные, которые мы вынесли из values.yaml в secrets.yaml:

Что надо сделать – добавить в Докер-образ, который используется для билда, плагин helm-secrets, а потом обновить стейдж stage(“Helm install”) в скрипте пайплайна – добавить вызов secrets и -f secrets.yaml.

Jenkins Docker build-image

Сейчас Dockefile для сборки образа, который используется для билда и деплоя выглядит так:

FROM bitnami/minideb:stretch
  
RUN apt update && install_packages ca-certificates wget
RUN install_packages curl python-pip python-setuptools jq git

RUN curl -LO https://storage.googleapis.com/kubernetes-release/release/`curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt`/bin/linux/amd64/kubectl
RUN chmod +x ./kubectl
RUN mv ./kubectl /usr/local/bin/kubectl

WORKDIR /tmp
RUN curl  --location "https://github.com/weaveworks/eksctl/releases/latest/download/eksctl_$(uname -s)_amd64.tar.gz" | tar xz -C /tmp
RUN mv /tmp/eksctl /usr/local/bin

RUN pip install ansible boto3 awscli

WORKDIR /tmp
RUN curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/master/scripts/get-helm-3
RUN /bin/bash get_helm.sh

USER root

Добавляем установку плагина – там исходный образ bitnami/minideb:stretch – SOPS должен установится нормально, а не как на Arch Linux:

...
RUN curl -fsSL -o get_helm.sh https://raw.githubusercontent.com/helm/helm/master/scripts/get-helm-3
RUN /bin/bash get_helm.sh
RUN helm plugin install https://github.com/futuresimple/helm-secrets 

USER root

Собираем:

Ага, счаз.

Окей – поставим SOPS из PIP:

...
RUN mv /tmp/eksctl /usr/local/bin 

RUN pip install ansible boto3 awscli sops

WORKDIR /tmp
...

Правда, во время сборки Helm сказал, что:

Посмотрим – как пойдёт во время билда в Jenkins.

Jenkinsfile

Обновляем скрипт пайплайна – добавляем secrets и -f bttrm-apps-backend/secrets.yaml:

...
        stage("Helm install") {
                    ...
                    sh "helm secrets upgrade --install --namespace ${AWS_EKS_NAMESPACE} --create-namespace --atomic ${APP_CHART_NAME} ${APP_CHART_NAME}-${RELEASE_VERSION}.tgz -f bttrm-apps-backend/secrets.yaml"
                }
            }   
        }
...

Запускаем:

Готово.

Ссылки по теме

• Secret Management in Helm – Kubernetes
• Encrypting Helm Secrets
• helm-secrets