我们考虑使用 oVirt 来部署我们的虚拟机基础设施。我的问题是:有没有办法在 VM 中安全地注入秘密。
我们使用 salt 进行 VM 管理,使用 Hashicorp Vault 进行机密管理,因此我想部署一些 Vault 机密(例如,批准凭据)或预置的 salt minion 密钥。
这样做是为了安全地识别我们基础架构中的新虚拟机并相应地进行配置。我们目前使用 gcloud GCE/IAM auth 非常适合这种情况。
我正在查看 VDSM Hooks atm,例如 fileinject ( https://www.ovirt.org/develop/developer-guide/vdsm/hook/fileinject/ ),但我不知道它可以安全地管理机密。
完美的解决方案是,如果 oVirt 可以使用其私钥或通过 vault PKI 基于 VM 的名称签署某种秘密(如证书),并在每个 VM 内注入一个签名的证书/私钥。