我们考虑使用oVirt在下面部署我们的VM。我的问题是:是否可以安全地在VM中注入机密。
我们将Salt用于VM管理,将Hashicorp Vault用于秘密管理,因此我想部署一些Vault秘密(例如,近似凭据)或预播的Salt Minion密钥。
这样做是为了安全地识别基础架构中的新VM并进行相应配置。我们目前使用gcloud GCE / IAM身份验证,非常适合这种情况。
我正在查看VDSM Hooks atm,就像fileinject(https://www.ovirt.org/develop/developer-guide/vdsm/hook/fileinject/)一样,但是我不了解它可以安全地管理机密的方式。
完美的解决方案是,如果oVirt可以使用虚拟机的私钥或通过保管库PKI签名基于虚拟机名称的某种秘密(例如证书),并在每个虚拟机内注入签名的证书/私钥。