Il prodotto descritto in questa documentazione, Anthos Clusters on AWS (generazione precedente), è ora in modalità di manutenzione. Tutte le nuove installazioni devono utilizzare l'attuale prodotto di generazione, Cluster Anthos on AWS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo di HashiCorp Vault su GKE su AWS

HashiCorp Vault è una soluzione di gestione dei segreti di terze parti che si integra con Kubernetes e GKE su AWS.

Puoi eseguire il deployment di Vault su GKE su AWS utilizzando:

Grafico Helm ufficiale di HashiCorp
Vault su GKE, che viene installato con Terraform.

Puoi accedere ai secret di Vault all'interno dei pod utilizzando l'iniettore di sidecar dell'agente. L'iniettore è un controller webhook Kubernetes Mutating. Il controller intercetta gli eventi del pod e aggiorna la relativa configurazione.

L'iniettatore di agenti Vault utilizza l'account di servizio Kubernetes (KSA) di un pod con il metodo di autenticazione Kubernetes Vault. L'account KSA deve essere associato a un ruolo Vault con un criterio che conceda l'accesso ai secret.

Una volta configurato, puoi richiedere i secret annotando un pod.

Lo snippet seguente include le annotazioni da aggiungere a un pod. Se il ruolo myapp ha accesso al secret secret/banana, Vault lo monta in /vault/secrets/apple.

spec:
  template:
    metadata:
      annotations:
        vault.hashicorp.com/agent-inject: "true"
        vault.hashicorp.com/agent-inject-secret-apple: "secrets/banana"
        vault.hashicorp.com/role: "myapp"

Puoi applicare questa configurazione:

A un pod con kubectl edit pod/pod-name.
A un deployment con kubectl edit deployment/deployment-name.

Passaggi successivi

Leggi la documentazione di Vault Injector.
Esamina il repository GitHub di vault-k8s.

Utilizzo di HashiCorp Vault su GKE su AWS Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Passaggi successivi

Utilizzo di HashiCorp Vault su GKE su AWS