正如@Rico 提到的那样,在 Vault 和 Kubernetes 中暴露这些秘密首先违背了使用 Vault 的目的。
使用 Vault,数据被加密(传输/休息),您可以提供对谁可以访问哪些数据的访问粒度控制。将 Vault 中的数据暴露给基本上仅限于 base64 编码的 Kubernetes Secret 对象,将在很大程度上破坏 Vault 的最大好处,即保护您的基础设施并成为负责管理您的秘密的单一实体。
Vault 是一个很棒的工具,但在我看来,它对于非开发配置可能会变得相当复杂,因为您将不得不附加 Consul 之类的工具,这样您就可以拥有持久的后端存储,因此使用架构分布式模式,例如因为sidecar 模式也可能过于矫枉过正,根本不推荐。
因此,我完全理解,试图找到一种方法将 Pod 所需的秘密信息放在它旁边似乎很诱人,特别是以一种简单的方式,但如果它完全不加密,肯定会达不到目的。
既然这样,为什么不简单地创建一个 Vault 控制器,该控制器将是负责与 Vault 交互的实体,其将负责查询 Vault 的 Wrapped Tokens,它可以在被 Pod 内的初始化容器解包?这是因为启动 Pod 需要额外的时间,因为我们需要执行一些早期调用来检索 Wrapped Token?或者是因为在需要从 Vault 查询秘密数据时必须执行额外调用的额外延迟?
每当我想到集成 Kubernetes 和 Vault 的想法时,我通常倾向于考虑以下由 Kelsey Hightower 解释的原型。
我的问题是 HashiCorp Vault 是否也可以用于使用凭据填充 Kubernetes Secrets,如何实现?
是和不是。
否:Kubernetes 或 Vault 方面都没有支持。仅支持使用服务帐户向 Vault 进行身份验证。一个更大的问题是为什么您希望 Vault 在 Kubernetes 机密中填充机密,因为它们在 Vault 中已经是“安全的”。
是的:你必须建立自己的自动化。你所有的秘密都是这样的:
kubectl create secret generic mynicepass2 --from-literal=key1=`vault read <your-secret>`
考虑到 3 年过去了,一些更新的东西:
BanzaiCloud 的 mutating webhook可以做到这一点 ,尤其要注意BanzaiCloud 的 mutating webhook
当然你需要考虑安德烈提到的事情:你最终会得到带有该秘密数据的 Kubernetes 秘密(而不是被注入 POD 的秘密数据)