在 Kubernetes 中使用可信平台模块

Using Trusted Platform module in Kubernetes

我有一个需要安全存储的签名密钥。

我以前做的是将它直接存储在同一主机上可用的硬件中(TPM2.0,使用 pkcs11 API)。 现在我正在将我的服务转移到 Kubernetes,我尝试使用谷歌搜索“Kubernetes TPM”,但我发现的所有内容都是使用远程 TPM(通过密钥管理系统)保护 Kubernetes,而不是在主机本身上。 使用位于节点上的硬件是否是一种反模式(因为我很少看到将节点 TPM 与 Kubernetes 一起使用)? 保护这些签名密钥最常做的事情是什么(除了 KMS)?

谢谢!

这个时代,API 就是道路。