作者/叶士博
一. helm3部署Vault到Kubernetes
注意点:Vault chart与helm 2 chart不兼容,需要使用helm 3。
1. 设置helm 3存储库。
helm repo add hashicorp https://helm.releases.hashicorp.com2. 检查您是否有权访问图表, 列出可用的版本。
helm search repo hashicorp/vault --versions3. 空运行helm install, 检查chart。
helm install vault hashicorp/vault --version 0.19.0 --dry-run4. 正式安装(本文安装开发模式,正式场景不推荐)。
helm install vault hashicorp/vault --version 0.19.0 --set "server.dev.enabled=true" 或者自定义配置override-values.yaml使用从文件中读取的值覆盖默认配置, 具体配置参考官网(https://learn.hashicorp.com/tutorials/vault/kubernetes-raft-deployment-guide?in=vault/kubernetes#configure-vault-helm-chart)。
helm install vault hashicorp/vault --version 0.19.0 -f override-values.yml二. 配置 Vault
在用户或机器可以进行身份验证之前,必须提前配置身份验证方法。
1. 开启Kubernetes认证方式。
vault auth enable kubernetes2. 添加Kubernetes配置。
使用/config端点配置Vault以与Kubernetes通信。用于kubectl cluster-info验证Kubernetes主机地址和TCP端口。有关可用配置选项的列表,请参阅API文档(https://www.vaultproject.io/api/auth/kubernetes)。
vault write auth/kubernetes/config \token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443" \kubernetes_ca_cert=@/var/run/secrets/kubernetes.io/serviceaccount/ca.crt注意:Vault用于验证Pod的模式取决于在网络上共享JWT令牌。鉴于Vault的安全模型,这是允许的,因为Vault是可信计算库的一部分。一般来说,Kubernetes应用程序不应与其他应用程序共享此JWT,因为它允许代表Pod进行API调用,并可能导致向第三方授予意外访问权限。
其中token_reviewer_jwt和kubernetes_ca_cert都是Kubernetes默认注入到Pod中的,而环境变量KUBERNETES_PORT_443_TCP_ADDR也是内置的表示Kubernetes APIServer的内网地址。为了让客户端读取上一步定义在internal/database/config路径下面的secret数据,还需要为该路径授予read的权限。
3. 创建Vault权限策略。
$ vault policy write internal-test - <<EOHpath "internal/data/database/config" { capabilities = ["read"] }EOH每次重新设置会覆盖上次一的权限策略。
4. 创建认证角色。
vault write auth/kubernetes/role/demo \bound_service_account_names=vault-auth \bound_service_account_namespaces=default \policies=internal-test \ttl=24h该角色将Kubernetes default命名空间下面的名为internal-app的ServiceAccount与Vault的internal-app策略连接在了一起,认证后返回的Token有24小时的有效期。
5. 添加密钥。
三. 创建Kubernetes RBAC权限
---apiVersion: v1kind: ServiceAccountmetadata: name: internal-test # 需要和上面的 bound_service_account_names 一致 namespace: default # 需要和上面的 bound_service_account_namespaces 一致---apiVersion: rbac.authorization.k8s.io/v1beta1kind: ClusterRoleBindingmetadata: name: vault-clusterrolebindingroleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: system:auth-delegatorsubjects: - kind: ServiceAccount name: internal-test namespace: default---kind: RoleapiVersion: rbac.authorization.k8s.io/v1metadata: name: vault-secretadmin-rolerules:- apiGroups: [""] resources: ["secrets"] verbs: ["*"]---kind: RoleBindingapiVersion: rbac.authorization.k8s.io/v1metadata: name: vault-secretadmin-rolebindingsubjects:- kind: ServiceAccount name: internal-testroleRef: kind: Role name: vault-secretadmin-role apiGroup: rbac.authorization.k8s.io四. 使用Kubernetes访问Vault的secret
使用Vault SDK访问secret,token可以通过命令行kubectl describe secrets查看。
package mainimport ( "fmt" "io/ioutil" vaultApi "github.com/hashicorp/vault/api")var ( vaultHost string vaultServiceAccount string vaultJWTPath string)func main() { // 存放 token的 位置 vaultJWTPath = "/var/run/secrets/kubernetes.io/serviceaccount/token" vaultServiceAccount = "internal-test" tlsConfig := &vaultApi.TLSConfig{ Insecure: false, } config := vaultApi.DefaultConfig() // todo,配置 vault 地址 config.Address = fmt.Sprintf("https://%s", vaultHost) config.ConfigureTLS(tlsConfig) client, _ := vaultApi.NewClient(config) buf, _ := ioutil.ReadFile(vaultJWTPath) jwt := string(buf) options := map[string]interface{}{ "jwt": jwt, "role": vaultServiceAccount, } loginSecret, err := client.Logical().Write("auth/kubernetes/login", options) if err != nil{ panic( err) } client.SetToken(loginSecret.Auth.ClientToken) // internal/data/database/config 为 vault 中设置 权限策略 的 path secret, err := client.Logical().Read("internal/data/database/config") if err != nil{ panic( err) } fmt.Println(secret)}LStack产品简介
面向行业应用开发商(ISV/SI)提供混合云/边缘云场景下云原生应用开发测试、交付、运维一站式服务,帮助企业采用云原生敏捷开发交付方法论,从而提高软件开发人员效率、减少运维成本,加快数字化转型,并最终实现业务创新。
-End-
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除