vault-使用kubernetes作为认证后端

最新推荐文章于 2025-07-24 10:30:03 发布
转载 最新推荐文章于 2025-07-24 10:30:03 发布 · 494 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/679985
文章标签:

#后端 #awk

本文详细介绍如何使用Vault与Kubernetes集成,通过ServiceAccount进行认证。包括创建ServiceAccount、配置Vault、授权角色及RBAC绑定,最后演示如何使用ServiceAccount的JWT进行登录。

vault使用kubernetes认证

配置

vault可以使用kubernetes的serviceaccount进 行认证

#在kubernetes为vault创建serviceaccount账号,用于调用api
kubectl create sa vault-auth
#找到vault-auth的token以及ca
kubectl get secret |grep vault-auth-token |awk '{print $1}'|xargs kubectl get -o yaml secret
67fc6649849eefd7e0f157acb017f4c1540c645a

把图中的ca.crt以及token用base64解码得到证书

# 使用vault-cli配置kubernetes认证 vault auth enable kubernetes 
#token_reviewer_jwt是上图中token用base64解码的值 # kubernetes_host是kubernetes-api-server的地址 # kubernetes_ca_cert是上图中ca.crt用base64解码的值存储的文件路径, vault write auth/kubernetes/config \
 token_reviewer_jwt="reviewer_service_account_jwt" \
 kubernetes_host=https://192.168.99.100:8443 \
 kubernetes_ca_cert=@ca.crt 
# 允许vault调用kubernetes的sa-api # cat rbac.yaml apiVersion: rbac.authorization.k8s.io/v1beta1 kind: ClusterRoleBinding metadata: name: role-tokenreview-binding namespace: default roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: system:auth-delegator subjects: - kind: ServiceAccount name: vault-auth namespace: default #kubectl apply -f rbac.yaml

使用kubernetes的serviceaccount认证

vault创建role

vault write auth/kubernetes/role/demo \
 bound_service_account_names=vault-auth \
 bound_service_account_namespaces=default \
 policies=default \
 ttl=1h

认证

#role对应vault里面创建的role,jwt对应kubernetes里面serviceaccount的token
curl https://vault:8200/auth/kubernetes/login -XPOST -d '{"role": "demo", "jwt": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."}'

本文转自SegmentFault-vault-使用kubernetes作为认证后端

微服务架构 Spring Cloud 生态快速回顾指南
张彦峰的博客
02-14 168万+
本文介绍了Spring Cloud在微服务架构中的核心组件及其应用。Spring Cloud提供了服务注册与发现、负载均衡、配置管理和容错机制等功能,简化了分布式系统的构建与管理。通过对这些组件的分析,本文阐述了如何利用Spring Cloud提高微服务系统的可用性、灵活性和可扩展性。最终,本文强调了Spring Cloud作为现代云原生应用开发的重要工具,帮助开发者构建高效、可靠的微服务架构。
Go-使用Vault来存储Kubernetesr的secrets
08-14
使用Vault来存储Kubernetesr的secrets
kubernetes-vault使用保管库存储Kubernetes的机密!
02-03
Kubernetes Vault集成 Kubernetes-Vault项目允许吊舱使用Vault的自动接收Vault令牌。 强调 默认为安全。 Kubernetes-Vault控制器不允许使用根令牌对Vault进行身份验证。 Prometheus指标通过http或https终结点,并带有可选的TLS客户端身份验证。 支持将所有支持TLS的组件用作Vault的CA或外部CA。 使用Raft的高可用性模式,因此,如果领导者失败了,跟随者可以立即接管。 使用Kubernetes服务以及端点和八卦的对等发现以在集群中传播对等更改。 先决条件: 保管箱应为0.6.3及以上。 您必须使用Kubernetes 1.6.0及更高版本,因为我们依靠init容器(处于beta中)来接受令牌。 对于Kubernetes 1.5.x及更低版本,请通过参考使用旧版本的Kubernetes-Vault。 您必须使用正确的策略生成定期令牌,才能使用AppRole后端生成secret_id 。 Kubernetes-Vault控制器使用Kubernetes服务帐户来监视新的Pod。 该服务帐户必须具
vault-in-kubernetes
weixin_30652491的博客
08-24 116
http://www.devoperandi.com/vault-in-kubernetes-take-2/ https://www.usenix.org/sites/default/files/conference/protected-files/ucms15_slides_shaikh.pdf https://www.vaultproject.io/docs/concepts/ha.htm...
基于HashiCorp Vault的K8S外部密钥管理实践
最新发布
hehehaha2025的博客
07-24 47
在容器化环境中,敏感数据(如 API 密钥、数据库凭据、TLS 证书)的安全管理成为保障系统安全的关键挑战。
Kubernetes 上部署 Secret 加密系统 Vault
dotNET跨平台
05-20 497
HashiCorp Vault 是一个基于身份的 Secret 和加密管理系统。Secret 是您想要严格控制访问的内容,例如 API 加密密钥、密码或证书。Vault 提供由身份验证和授权方法控制的加密服务。使用 Vault 的 UI、CLI 或 HTTP API,可以安全地存储和管理对机密和其他敏感数据的访问、严格控制和可审计。目前的系统需要访问大量 Secret:数...
Vault Integration Using Kubernetes Authentication Method
mark's technic world
05-29 571
IntroductionUntil recently, it wasn’t straightforward for applications running on OpenShift to authenticate with Vault in order to retrieve secrets. It involved a complex orchestration workflow, invol...
kubernetes-vault:在Kubernetes(GKE)上运行Hashicorp Vault。 包括有关自动备份(GCS)和日常使用的说明
04-28
Kubernetes-Vault 目录 初始化和打开保管库 撤销根令牌 暴露库 先决条件 启用了Google云密钥管理服务(KMS)API的GCP项目。 在此项目中担任以下Google Cloud IAM角色: Cloud KMS > Cloud KMS管理员 Cloud KMS > Cloud KMS CryptoKey加密器/解密器 容器>容器引擎管理 Compute Engine >计算网络管理员 一个工作GKE集群中运行Kubernetes v1.8.3与存储旧版授权禁止并读/写权限。 gcloud的有效安装,配置为访问目标Google Cloud Platform项目。 kubectl的有效安装,配置为访问目标集群。 cfssl的有效安装(下面有更多详细信息)。 jq的有效安装(下面有更多详细信息)。 Vault二进制文件(更多详细信息,请参见下文)。 在继续
Argo CD Vault Replacer 插件 - Kubernetes保密自动化
使用Vault作为密钥存储与管理的后端,有以下优势: 1. **安全性增强**:将敏感信息从Git仓库中移除,避免了密钥信息泄露的风险。只有授权的用户和系统才能够访问Vault,且访问过程会通过加密保证数据传输安全。 2....
secrets-manager: 实现VaultKubernetes秘密同步的工具
例如,VaultKubernetes是两个广泛使用的工具,分别被用来作为秘密存储后端和容器编排平台。但这种多样性也带来了挑战,尤其是在机密管理方面。 Vault是由HashiCorp开发的一个机密管理和密钥值存储系统,它提供了...
vault-agent-template-demo的Java应用与安全策略配置
Vault提供了多种认证方法,包括Approle、Kubernetes、JWT等。 3. **Vault策略**:策略是定义在Vault中身份权限的规则集。使用HCL语言编写,策略可以授予对各种资源(如密钥、数据、端点等)的访问权限。 4. **...
scala-vault:Hashicorp Vault Scala库
02-05
1. **认证与身份管理**:Scala-Vault 支持多种认证机制,包括令牌、AWS IAM、Kubernetes 和 LDAP 等。你可以轻松地在代码中设置和管理这些认证方式,为不同的服务和用户授予合适的权限。 2. **秘密存储**:你可以...
vault-k8s:对VaultKubernetes的一流支持
03-19
保管箱+ Kubernetesvault-k8s) vault-k8s二进制文件包括VaultKubernetes之间的一流集成。当前,此存储库中唯一的集成是Vault Agent Sidecar Injector( agent-inject )。将来将在此处找到更多集成。 KubernetesVault的集成。该自述文件将提供每个用例的基本概述,但有关完整文档,请参考Vault网站。 该项目的版本与Vault分开。每个功能支持的保管库版本将在下面注明。通过对该项目分别进行版本控制,我们可以更快地迭代Kubernetes集成并发布新版本,而不必强迫Vault用户进行完整的Vault升级。 特征 :Agent Inject是一个变异Webhook控制器,可将Vault Agent容器注入满足特定注释条件的Pod中。 (需要Vault 1.3.1+) 安装 vault-k8s分布有
【译】Vault 学习资源:1.0, 自动解印, 代理, Kubernetes
weixin_34037173的博客
01-08 205
2018年12月20日 HYAKUNA YKO我们很高兴地宣布更多的动手指南, 以帮助您学习和集成 vault 作为您的机密管理解决方案。一些预先存在的指南也已更新。新指南:使用 GCP 云 KMS 自动解印带有 AWS 的 Vault 代理KubernetesVault 代理Vault 入门视频指南更新的指南:入门-安装VaultTokensCubbyhole Response Wrapp...
推荐使用Vault Controller - KubernetesVault的完美结合
gitblog_00083的博客
05-22 455
推荐使用Vault Controller - KubernetesVault的完美结合 项目介绍 Vault Controller 是一个巧妙的解决方案,它将Vault的安全令牌管理功能与Kubernetes集群的生命周期管理相结合。这个开源项目提供了一种自动化方式,使得Pod在启动时能自动获取并管理其专属的Vault令牌,以安全地请求和使用Vault服务器中的机密信息。 项目技术分析 Vau...
使用Vault管理Kubernetes集群中的敏感数据配置
MenzilBiz的博客
04-06 843
在现代云原生应用中,敏感数据管理一直是一个关键挑战。Kubernetes虽然提供了Secret对象,但其加密功能有限,难以满足企业级安全需求。HashiCorp Vault作为一个专业的秘密管理工具,为Kubernetes集群提供了更强大的敏感数据保护方案。本文将详细介绍如何使用Vault来安全地管理Kubernetes中的敏感配置。
KubeVault:在Kubernetes上轻松管理HashiCorp Vault
gitblog_00544的博客
09-08 600
KubeVault:在Kubernetes上轻松管理HashiCorp Vault 项目介绍 KubeVault 是由 AppsCode 开发的一套工具集,旨在帮助用户在 Kubernetes 集群上轻松运行和管理 HashiCorp VaultVault 是一个强大的开源工具,用于安全地存储和管理敏感数据,如密码、API 密钥和证书。KubeVault 通过提供一系列的 Operator 和 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值