我们在Hashicorp Vault服务器上有很多秘密。我们已经开始测试可在Kubernetes上部署的大三角帆,但我看不到任何有关如何从Hashicorp Vault阅读有关如何在kubernetes上创建秘密的文档。
有人可以为此指出正确的方向吗?甚至建议使用Spinnaker创建机密,还是应该严格将其用于部署?
答案 0 :(得分:2)
通过大三角帆创建机密的问题在于,您首先将机密内容保留在哪里,以便能够从中创建机密。无论您将其放在哪里,都可能会造成妥协的风险。因此,我建议使用Sidecar注入器在运行时动态创建秘密。
HashiCorp Vault sidecar注入器代理是可用于此目的的工具。注入器是Kubernetes突变Webhook控制器。如果请求中存在批注,则控制器将拦截pod事件并将突变应用于pod。
由于秘密是作为Vault服务器中的VolumeMounts作为VolumeMounts直接注入到容器中的,因此与通过Spinnaker创建秘密相比,泄露的机会要小