当 vault 部署在专用集群上时，如何从另一个 kubernetes 集群访问 vault secret？

Posted 2023-03-27

技术标签:

【中文标题】当 vault 部署在专用集群上时，如何从另一个 kubernetes 集群访问 vault secret？【英文标题】：How to access vault secrets from another kubernetes cluster when vault is deployed on a dedicated cluster? 【发布时间】：2019-10-01 04:02:36 【问题描述】：

我在 AWS 的同一区域中的同一 VPC 中创建了 2 个 kubernetes 集群。

第一个集群专门用于我的微服务。我们将其命名为“MS” 第二个专门用于保管库及其高可用性存储（consul）。我们把它命名为“V”

问题是如何从“MS”集群中的容器访问我在“V”集群中创建的秘密？

到目前为止我已经尝试过：

我首先在“MS”集群中创建了一个新的服务帐户，该帐户使用审查令牌 API 进行身份验证。

然后我必须从“MI”集群中提取令牌审查者 JWT、Kuberenetes CA 证书和 Kubernetes 主机

然后我切换到“V”集群上下文以启用并创建一个附加到该服务帐户的新 kubernetes 身份验证方法。

从那里我不知道该怎么做，我不确定该方法在使用 2 个不同的集群时是否真的有效？

服务帐号：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: consul
  labels:
    app: consul
rules:
  - apiGroups: [""]
    resources:
      - pods
    verbs:
      - get
      - list
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: consul
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: consul
subjects:
  - kind: ServiceAccount
    name: consul
    namespace: default
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: consul
  labels:
    app: consul

从“MI”集群导出令牌审查变量

export VAULT_SA_NAME=$(kubectl get sa postgres-vault -o jsonpath=".secrets[*]['name']")

export SA_JWT_TOKEN=$(kubectl get secret $VAULT_SA_NAME -o jsonpath=".data.token" | base64 --decode; echo)

export SA_CA_CRT=$(kubectl get secret $VAULT_SA_NAME -o jsonpath=".data['ca\.crt']" | base64 --decode; echo)

export K8S_HOST=$(kubectl exec consul-consul-0 -- sh -c 'echo $KUBERNETES_SERVICE_HOST')

创建 kubernetes 身份验证方法


vault auth enable kubernetes
vault write auth/kubernetes/config \
  token_reviewer_jwt="$SA_JWT_TOKEN" \
  kubernetes_host="https://$K8S_HOST:443" \
  kubernetes_ca_cert="$SA_CA_CRT"

我希望通过我的 micros 服务访问存储在保险库中的机密。虽然我不确定当保管库部署在专用集群中时该方法是否有效。

我想可能还有其他东西可以加入这两个集群？可能正在使用领事？

【问题讨论】：

【参考方案1】：

你占了 80%。接下来的步骤是： 1. 使用正确的服务帐户运行部署 2. 使用 Kubernetes 身份验证方法登录/验证 vault 并获取相关 vault 令牌。 3. 检索秘密。

这是将服务帐户添加到您的部署的示例：

apiVersion: apps/v1beta2
kind: Deployment
metadata:
  name: xxx
  labels:
    app: xxx
spec:
  replicas: 1
  template:
    metadata:
      ...
    spec:
      serviceAccountName: vault-auth
  ...

要使用 kube auth 登录，请参阅 here。我建议你看看这个project 的具体例子。

一旦您获得具有正确权限的令牌，您就可以使用 vault cli/rest api 访问机密。

【讨论】：

对于第 2 步和第 3 步，我可以将身份验证和导出命令添加到“initContainer”吗？然后我就可以在我的应用程序中做一个 process.env.secret 对吗？谢谢我正在将秘密写入共享卷上的文件并在运行我的应用程序之前记录它们。（源 /env/variables ）

以上是关于当 vault 部署在专用集群上时，如何从另一个 kubernetes 集群访问 vault secret？的主要内容，如果未能解决你的问题，请参考以下文章

使用 terraform 在活动集群中部署 Vault

部署期间如何使用 Azure Key Vault 传递安全参数值？

您如何在功能应用程序中从Azure Key Vault引用密钥？

在GKE专用集群上创建入口资源时超时

春季启动部署

javascript 从另一个页面更改元素