HashiCorp Vault는 Kubernetes 및 Anthos clusters on AWS와 통합되는 타사 보안 비밀 관리 솔루션입니다.
다음을 사용하여 Anthos clusters on AWS에 Vault를 배포할 수 있습니다.
- HashiCorp의 공식 Helm 차트
- Terraform과 함께 설치되는 GKE의 Vault
에이전트 사이드카 인젝터를 사용하여 pod 내에서 Vault 보안 비밀에 액세스할 수 있습니다. 인젝터는 Kubernetes Mutating Webhook 컨트롤러입니다. 컨트롤러는 pod 이벤트를 가로채고 pod의 구성을 업데이트합니다.
Vault 에이전트 인젝터는 Vault Kubernetes 인증 방법으로 pod의 Kubernetes 서비스 계정(KSA)을 사용합니다. KSA 계정은 보안 비밀에 대한 액세스 권한을 부여하는 정책이 있는 Vault 역할에 연결되어야 합니다.
구성된 후에는 pod에 주석을 달아 보안 비밀을 요청할 수 있습니다.
다음 스니펫에는 pod에 추가할 주석이 포함되어 있습니다.
myapp 역할에 보안 비밀 secret/banana에 대한 액세스 권한이 있으면 Vault에서 이를 /vault/secrets/apple에 마운트합니다.
spec:
template:
metadata:
annotations:
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/agent-inject-secret-apple: "secrets/banana"
vault.hashicorp.com/role: "myapp"
다음 구성을 적용할 수 있습니다.
kubectl edit pod/pod-name을 사용하여 pod에 적용kubectl edit deployment/deployment-name을 사용하여 배포에 적용
다음 단계
- Vault 인젝터 문서 읽어보기
- vault-k8s GitHub 저장소 검토