HashiCorp Vault è una soluzione di gestione dei segreti di terze parti che si integra con Kubernetes e GKE su AWS.
Puoi eseguire il deployment di Vault su GKE su AWS utilizzando:
- Grafico Helm ufficiale di HashiCorp
- Vault su GKE, che viene installato con Terraform.
Puoi accedere ai secret di Vault all'interno dei pod utilizzando l'iniettore di sidecar dell'agente. L'iniettore è un controller webhook Kubernetes Mutating. Il controller intercetta gli eventi del pod e aggiorna la relativa configurazione.
L'iniettatore di agenti Vault utilizza l'account di servizio Kubernetes (KSA) di un pod con il metodo di autenticazione Kubernetes Vault. L'account KSA deve essere associato a un ruolo Vault con un criterio che conceda l'accesso ai secret.
Una volta configurato, puoi richiedere i secret annotando un pod.
Lo snippet seguente include le annotazioni da aggiungere a un pod.
Se il ruolo myapp ha accesso al secret secret/banana, Vault lo monta in /vault/secrets/apple.
spec:
template:
metadata:
annotations:
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/agent-inject-secret-apple: "secrets/banana"
vault.hashicorp.com/role: "myapp"
Puoi applicare questa configurazione:
- A un pod con
kubectl edit pod/pod-name. - A un deployment con
kubectl edit deployment/deployment-name.
Passaggi successivi
- Leggi la documentazione di Vault Injector.
- Esamina il repository GitHub di vault-k8s.