Bitnami Kubeseal (Sealed Secrets) 镜像文档

镜像概述和主要用途

Kubeseal 是一个 CLI 工具，使用非对称加密技术对密钥进行加密，只有 Sealed Secrets 控制器能够解密这些加密后的密钥。Bitnami Kubeseal 镜像封装了这一工具，提供开箱即用的 Kubernetes Secrets 加密解决方案，适用于在 Kubernetes 环境中安全管理敏感信息，避免明文存储密钥。

Kubeseal (Sealed Secrets) 概述

核心功能与特性

Kubeseal 核心功能

• 非对称加密：使用 RSA 非对称加密算法，确保只有集群内的 Sealed Secrets 控制器能解密密钥
• 与 Kubernetes 集成：生成的加密密钥（SealedSecret 资源）可直接部署到 Kubernetes，自动转换为原生 Secret
• 安全存储：支持将加密后的密钥提交至代码仓库，无需担心明文泄露

Bitnami 镜像特性

• 轻量化设计：基于精简操作系统，减少攻击面
• 安全加固：遵循软件供应链安全最佳实践，包含 SBOM（软件物料清单）
• 版本一致性：与 Bitnami 其他容器、虚拟机镜像使用相同组件和配置逻辑，便于跨环境迁移

使用场景和适用范围

适用场景

• Kubernetes 环境中敏感信息（如密码、API 密钥）的加密存储
• 需将密钥纳入版本控制（如 Git）的场景，避免明文泄露
• 多环境（开发、测试、生产）密钥管理的标准化流程

适用范围

• 开发环境：可使用公共镜像（docker.io/bitnami）的 latest 标签进行功能验证
• 生产环境：建议使用 Bitnami Secure Images，包含企业级加固、CVE 透明度及长期支持

镜像获取与部署

拉取镜像

推荐从 Docker Hub 拉取预构建镜像：

# 拉取最新版本
docker pull bitnami/sealed-secrets-kubeseal:latest

# 拉取特定版本（需替换 [TAG] 为具体版本，如 0.24.0）
docker pull bitnami/sealed-secrets-kubeseal:[TAG]

构建镜像（可选）

如需自定义构建，可克隆仓库并执行构建命令：

git clone [***]
cd containers/bitnami/sealed-secrets-kubeseal/[VERSION]/[OS]  # 替换 VERSION 和 OS（如 0.24.0/linux）
docker build -t bitnami/sealed-secrets-kubeseal:latest .

使用方法和配置说明

基本运行

启动容器并执行 Kubeseal 命令：

# 简单运行容器
docker run --rm --name sealed-secrets-kubeseal bitnami/sealed-secrets-kubeseal:latest

# 执行 Kubeseal 命令（如查看版本）
docker run --rm bitnami/sealed-secrets-kubeseal:latest -- kubeseal --version

典型操作示例

1. 生成加密密钥（SealedSecret）

需结合 Kubernetes 集群的 Sealed Secrets 控制器公钥（通过 kubeseal --fetch-cert 获取）：

# 假设本地有明文 Secret 文件（secret.yaml）
docker run --rm -v $(pwd):/workspace bitnami/sealed-secrets-kubeseal:latest -- kubeseal --cert /workspace/public-cert.pem < /workspace/secret.yaml > /workspace/sealed-secret.yaml

2. 获取控制器公钥

docker run --rm bitnami/sealed-secrets-kubeseal:latest -- kubeseal --fetch-cert --controller-namespace kube-system > public-cert.pem

重要注意事项（2025年8月28日起生效）

公共镜像仓库变更

• 所有现有容器镜像（含历史版本标签，如 2.50.0、10.6）将从 docker.io/bitnami 迁移至 docker.io/bitnamilegacy 仓库，且不再接收更新。
• 公共仓库（docker.io/bitnami）仅保留少量加固镜像，且仅提供 latest 标签，用于开发目的。

非加固镜像支持终止

• Bitnami 将逐步停止对非加固、基于 Debian 的免费镜像的支持，并移除非 latest 标签。
• 生产环境需迁移至 Bitnami Secure Images，以获取加固容器、CVE 透明度（VEX/KEV）、企业级支持等能力。

详情参见 Bitnami Secure Images 公告。

为什么选择 Bitnami Secure Images？

• 安全加固：基于 Photon Linux 构建，最小化攻击面，符合供应链安全最佳实践。
• CVE 透明度：通过 VEX/KEV 提供漏洞可利用性信息，附 EPSS 风险评分。
• 持续更新：上游补丁发布后数小时内完成镜像更新，确保漏洞快速修复。
• 合规性支持：包含 SLSA-3 合规的构建证明、病毒扫描报告及签名验证（Notation）。
• 企业级支持：提供全量应用目录及长期支持服务，适合生产环境部署。

支持的标签

Bitnami 镜像标签策略详见 官方文档。各版本标签的对应关系可通过仓库分支下的 tags-info.yaml 文件查看（如 bitnami/sealed-secrets-kubeseal/[BRANCH]/[DISTRO]/tags-info.yaml）。

变更记录

• 2024年1月16日：移除 docker-compose.yaml 文件（该文件仅用于内部测试）。

贡献与问题反馈

• 贡献代码：通过 GitHub Pull Request 提交改进
• 问题反馈：通过 GitHub Issue 提交问题，建议附上详细环境信息及复现步骤

许可证

本镜像基于 Apache License 2.0 许可协议发布。详情参见 LICENSE。

Copyright © 2025 Broadcom. "Broadcom" 指 Broadcom Inc. 及其子公司。除非法律要求或书面同意，软件按 "AS IS" basis 提供，不附带任何明示或暗示的担保。