使用托管标识将 Azure Key Vault 与 Azure Kubernetes 服务集成
Integrate Azure Key Vault With Azure Kubernetes Service using Managed Identity
我正在 Azure 中设置 Keyvault 与 k8s 的集成。我可以使用托管身份在 Azure 中使用 csi 驱动程序安装带有机密的卷。我可以通过执行到 pod 中并找出秘密来验证秘密是否已安装。但是,现在我想将秘密公开为环境变量,但我不清楚该怎么做。以下是我部署的SecretProviderClass和Pod
spc-keyvault.yaml:
apiVersion: secrets-store.csi.x-k8s.io/v1alpha1
kind: SecretProviderClass
metadata:
name: spc-keyvault
spec:
provider: azure
secretObjects:
- secretName: foobar-secret
data:
- key: foobar
objectName: foobar
type: Opaque
parameters:
keyvaultName: "$keyvault"
usePodIdentity: "true"
useVMManagedIdentity: "false"
userAssignedIdentityID: ""
cloudName: ""
objects: |
array:
- |
objectName: foobar
objectType: secret
objectVersion: ""
resourceGroup: "$resourceGroup"
subscriptionId: "$subId"
tenantId: "$tenantId"
pod.yaml:
apiVersion: v1
kind: Pod
metadata:
name: inject-secrets-from-akv
labels:
aadpodidbinding: azure-pod-identity-binding-selector
spec:
containers:
- name: nginx
image: nginx
env:
- name: SECRET
valueFrom:
secretKeyRef:
name: foobar-secret
key: foobar
volumeMounts:
- name: secrets-store-inline
mountPath: "/mnt/secrets-store"
readOnly: true
volumes:
- name: secrets-store-inline
csi:
driver: secrets-store.csi.k8s.io
readOnly: true
volumeAttributes:
secretProviderClass: spc-keyvault
这是我部署 Pod 清单时的错误:
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Warning Failed 58m (x227 over 108m) kubelet Error: secret "foobar-secret" not found
Normal Pulling 3m51s (x470 over 108m) kubelet Pulling image "nginx"
错误很明显,没有名为:foobar-secret 的秘密。我认为 csi 驱动程序会自动创建所需的秘密。因此,在对文档和源代码进行一些研究和挖掘之后,我发现了在 pod yaml 中添加 nodePublishSecretRef 的建议。然后您需要使用 aad 客户端 ID 和客户端密码设置 nodePublishSecretRef。[1, 2] 但是,由于我使用的是托管身份,所以我不确定如何执行此操作。
有没有人使用 Managed Identity 来解决这个问题并且可以提供任何见解?或者我是否需要创建一个启动脚本(通过 configmap?)来将卷安装填充为 env。变量。
我能够通过更新 entrypoint.sh 将秘密导出到 env 变量来解决这个问题。像这样:
if [ ! -z ${SECRET_PATH+x} ]
then
echo "Exporting secrets as env. variables."
for f in $(ls ${SECRET_PATH})
do
echo "Exporting $f..."
export $f=$(cat ${SECRET_PATH}/$f)
done
fi
经过更多的挖掘,我发现这个 helm chart 中的一点可以让 csi 驱动程序创建 k8s 秘密:
secrets-store-csi-driver.syncSecret.enabled = true
现在我有了k8s的秘密。我想我会分享给任何想要此功能的人。
我正在 Azure 中设置 Keyvault 与 k8s 的集成。我可以使用托管身份在 Azure 中使用 csi 驱动程序安装带有机密的卷。我可以通过执行到 pod 中并找出秘密来验证秘密是否已安装。但是,现在我想将秘密公开为环境变量,但我不清楚该怎么做。以下是我部署的SecretProviderClass和Pod
spc-keyvault.yaml:
apiVersion: secrets-store.csi.x-k8s.io/v1alpha1
kind: SecretProviderClass
metadata:
name: spc-keyvault
spec:
provider: azure
secretObjects:
- secretName: foobar-secret
data:
- key: foobar
objectName: foobar
type: Opaque
parameters:
keyvaultName: "$keyvault"
usePodIdentity: "true"
useVMManagedIdentity: "false"
userAssignedIdentityID: ""
cloudName: ""
objects: |
array:
- |
objectName: foobar
objectType: secret
objectVersion: ""
resourceGroup: "$resourceGroup"
subscriptionId: "$subId"
tenantId: "$tenantId"
pod.yaml:
apiVersion: v1
kind: Pod
metadata:
name: inject-secrets-from-akv
labels:
aadpodidbinding: azure-pod-identity-binding-selector
spec:
containers:
- name: nginx
image: nginx
env:
- name: SECRET
valueFrom:
secretKeyRef:
name: foobar-secret
key: foobar
volumeMounts:
- name: secrets-store-inline
mountPath: "/mnt/secrets-store"
readOnly: true
volumes:
- name: secrets-store-inline
csi:
driver: secrets-store.csi.k8s.io
readOnly: true
volumeAttributes:
secretProviderClass: spc-keyvault
这是我部署 Pod 清单时的错误:
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Warning Failed 58m (x227 over 108m) kubelet Error: secret "foobar-secret" not found
Normal Pulling 3m51s (x470 over 108m) kubelet Pulling image "nginx"
错误很明显,没有名为:foobar-secret 的秘密。我认为 csi 驱动程序会自动创建所需的秘密。因此,在对文档和源代码进行一些研究和挖掘之后,我发现了在 pod yaml 中添加 nodePublishSecretRef 的建议。然后您需要使用 aad 客户端 ID 和客户端密码设置 nodePublishSecretRef。[1, 2] 但是,由于我使用的是托管身份,所以我不确定如何执行此操作。
有没有人使用 Managed Identity 来解决这个问题并且可以提供任何见解?或者我是否需要创建一个启动脚本(通过 configmap?)来将卷安装填充为 env。变量。
我能够通过更新 entrypoint.sh 将秘密导出到 env 变量来解决这个问题。像这样:
if [ ! -z ${SECRET_PATH+x} ]
then
echo "Exporting secrets as env. variables."
for f in $(ls ${SECRET_PATH})
do
echo "Exporting $f..."
export $f=$(cat ${SECRET_PATH}/$f)
done
fi
经过更多的挖掘,我发现这个 helm chart 中的一点可以让 csi 驱动程序创建 k8s 秘密:
secrets-store-csi-driver.syncSecret.enabled = true
现在我有了k8s的秘密。我想我会分享给任何想要此功能的人。