AFAIK管理员可以使用exec在kubernetes中运行的容器中执行命令。这意味着他们可以看到所有的秘密是正确的吗?
现在,如果秘密用于连接外部管理员无权访问的内容,我怎样才能避免管理员访问该外部系统?
我需要使用像Hashicorps Vault这样的东西吗?
答案 0 :(得分:1)
我需要使用像Hashicorps Vault这样的东西吗?
通常,是的:您需要一个外部加密源来分离秘密管理(管理员可以使用正确的RBAC)和秘密。
例如,hashicorp/vault-plugin-auth-kubernetes之类的内容可以帮助并允许Kubernetes服务帐户通过Vault进行身份验证。