kubernetes 保险库(保险库操作员)

vault for kubernetes (vault-operator)

我正在尝试为 Kubernetes 本身和将 运行 在容器上使用的应用程序寻找合适的保管库。到目前为止,许多资源都指向 Hashicorp 保险库。 为此,CoreOS 有一个保险库操作员,但它似乎自 4 月以来就被遗弃了。

我们 运行 AWS 上的 Kubernetes 和 EKS。

有什么建议可以选择使用吗?我很想知道今天最常用的最佳选择是什么。

谢谢!

格雷格

CoreOS Vault operator is beta as of this writing. I would not recommend using it in prod yet. There's also a Bootsport Vault Operator 但似乎也没有准备好。

IMO,截至目前,您最好使用 运行 独立的 Vault Kubernetes Deployments or a StatefulSet. You can use something like this or this 来开始。注意:仍然使用它需要您自担风险。

我已经尝试设置 CoreOS Vault Operator!使用 helm Vault 操作员将为我们提供保险库 pods。但是我发现很难为 vault 添加更多配置。例如,如果您想要将 Vault 与 AWS KMS 集成。

经过考虑,我决定使用Vault!使用 Consul 存储后端和 AWS KMS。保险库 pods 将有领事代理 运行 作为边车容器。

这是配置的一部分

storage:
  consul:
    address: "localhost:8500"
    path: vault
seal:
  awskms:
    region: "us-east-1"
    kms_key_id: "XXXX-YYYY-ZZZZ"
    access_key:
    secret_key:

我们的用例是使用 vault 来管理我们在 k8s 中的动态秘密