UCP Kubernetes加密覆盖网络集群管理器镜像

镜像概述

该镜像是在Docker Universal Control Plane (UCP) 环境下创建Kubernetes加密覆盖网络（Encrypted Overlay）所需的两个核心组件之一。其主要功能是管理集群级别的共享密钥环，为另一个组件（ucp-secureoverlay-agent）提供密钥数据，以配置和维护集群节点间的加密隧道。

核心功能和特性

• 密钥环管理：当共享密钥环为空时，自动初始化并创建密钥环，确保加密隧道配置有可用密钥
• 密钥自动轮换：内置密钥轮换机制，每12小时对密钥环中的密钥进行更新，提升长期运行环境的安全性
• 组件协同：与ucp-secureoverlay-agent组件紧密协作，通过共享密钥环为加密隧道配置提供必要的密钥支持

使用场景和适用范围

适用于在UCP环境中部署Kubernetes集群，且需要通过加密覆盖网络保障节点间通信机密性的场景。典型应用于对数据传输安全要求较高的生产环境，如金融、医疗等行业的Kubernetes集群部署。

使用方法和配置说明

基本部署要求

• 需部署在UCP管理的Kubernetes集群中
• 需与ucp-secureoverlay-agent组件同时部署
• 需提供持久化存储卷用于密钥环的共享和持久化

典型部署示例（Kubernetes Deployment片段）

apiVersion: apps/v1
kind: Deployment
metadata:
  name: ucp-secureoverlay-manager
  namespace: kube-system
spec:
  replicas: 1
  selector:
    matchLabels:
      app: ucp-secureoverlay-manager
  template:
    metadata:
      labels:
        app: ucp-secureoverlay-manager
    spec:
      containers:
      - name: manager
        image: docker/ucp-secureoverlay-manager:latest
        volumeMounts:
        - name: keyring-storage
          mountPath: /var/lib/secureoverlay/keyring
  volumes:
  - name: keyring-storage
    persistentVolumeClaim:
      claimName: secureoverlay-keyring-pvc  # 需提前创建的PVC，用于共享密钥环存储

关键配置说明

• 持久化存储：必须挂载共享存储卷（如PVC、NFS卷等）以确保密钥环在集群节点间共享和持久化
• 运行权限：需具备对共享存储卷的读写权限，以及与ucp-secureoverlay-agent组件的网络通信权限
• 密钥轮换：默认每12小时自动轮换密钥，无需额外配置

注意事项

• 该镜像仅在UCP环境中受支持，不建议在独立Kubernetes集群中使用
• 密钥环存储卷需确保高可用性，避免因存储故障导致密钥丢失影响加密隧道功能
• 需定期监控镜像运行状态，确保密钥轮换机制正常执行