使用helm快速认识 k8s vault

已于 2024-08-30 23:43:21 修改
阅读量170 收藏 6
点赞数 3
分类专栏: Kubernetes 文章标签: kubernetes 容器 云原生
于 2024-08-30 23:40:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sj1163739403/article/details/141729398
版权

业务需求需要加密线上各种key,开源工具里面vault最合适,最快上手的方式还是使用demo测试一下
不做过多介绍,主要是简单理解软件的工作方式
参考 https://www.qikqiak.com/post/deploy-vault-on-k8s/

一、 helm安装vault

$ helm repo add hashicorp https://helm.releases.hashicorp.com
# 这里最新版本就不装了
$ helm search repo hashicorp/vault
NAME                                    CHART VERSION   APP VERSION     DESCRIPTION                          
hashicorp/vault                         0.28.1          1.17.2          Official HashiCorp Vault Chart       
hashicorp/vault-secrets-operator        0.8.1           0.8.1           Official Vault Secrets Operator Chart

# 搜索其他版本
helm search repo hashicorp/vault -l
# 创建部署vault的ns
kubectl create namespace vault
# 创建values.yaml
$ cat custom-values.yaml
server:
  dev:
    enabled: true  # 开启开发模式

ui:
  enabled: true  # 启用 Vault UI,但我没有使用
# 安装最终版本
helm install vault hashicorp/vault --version 0.26.1 --namespace vault -f custom-values.yaml

二、vault创建策略和Role

安装以后进入容器,dev模式初始化操作都跳过了

kubectl exec -it vault-0  -n vault sh

internal路径开启kv-v2 secrets引擎

vault secrets enable -path=internal kv-v2

查看默认的secrets path

秘钥都会存储在path里面

$ vault secrets list
Path          Type         Accessor              Description
----          ----         --------              -----------
cubbyhole/    cubbyhole    cubbyhole_4cc7d038    per-token private secret storage
identity/     identity     identity_14eadf80     identity store
internal/     kv           kv_37a41a78           n/a
secret/       kv           kv_008d47de           key/value secret storage
sys/          system       system_cdde0317       system endpoints used for control, policy and debugging

在路径下添加一个用户名密码的秘钥

vault kv put internal/database/config username="baga" password="bagapass"

创建好以后去get秘钥

这个路径像是bucket路径一样

$ vault kv get internal/database/config
======== Secret Path ========
internal/data/database/config

======= Metadata =======
Key                Value
---                -----
created_time       2024-08-30T09:49:42.354666141Z
custom_metadata    <nil>
deletion_time      n/a
destroyed          false
version            1

====== Data ======
Key         Value
---         -----
password    bagapass
username    baga

三、开启kubernetes认证

开启k8s验证

vault auth enable kubernetes

vault接受k8s集群中任何客户端服务的Token验证

这些值都是容器固定的

vault write auth/kubernetes/config \
        token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
        kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443" \
        kubernetes_ca_cert=@/var/run/secrets/kubernetes.io/serviceaccount/ca.crt

提示:Success! Data written to: auth/kubernetes/config

查看auth list里面已经有了k8s

$ vault auth list
Path           Type          Accessor                    Description                Version
----           ----          --------                    -----------                -------
kubernetes/    kubernetes    auth_kubernetes_cbe9eac9    n/a                        n/a
token/         token         auth_token_20470ebe         token based credentials    n/a

创建vault的策略,读取之前的secret

vault policy write internal-app - <<EOH
path "internal/data/database/config" {
  capabilities = ["read"]
}
EOH

查看当前策略 list

$ vault policy list
default
internal-app
root

创建k8s认证角色,这里service_account的ns选择到app的ns下.role未创建,init容器里报错invaild role

vault write auth/kubernetes/role/internal-app \
        bound_service_account_names=internal-app \
        bound_service_account_namespaces=sijia-test \
        policies=internal-app \
        ttl=24h

查看role

$ vault list auth/kubernetes/role

四、集成vault role到k8s

创建service account

这里值很关键,要和vault中bound_service_account_namesbound_service_account_namespaces一致

vim service-account-test.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: internal-app
  namespace: sijia-test

kubectl apply -f  service-account-test.yaml

使用应用去测试 vault-demo.yaml

镜像是demo镜像

apiVersion: apps/v1
kind: Deployment
metadata:
  name: vault-demo
  namespace: sijia-test
  labels:
    app: vault-demo
spec:
  selector:
    matchLabels:
      app: vault-demo
  template:
    metadata:
      annotations:
        vault.hashicorp.com/agent-inject: "true"
        vault.hashicorp.com/role: "internal-app"
        vault.hashicorp.com/agent-inject-secret-database-config.txt: "internal/data/database/config"
      labels:
        app: vault-demo
    spec:
      serviceAccountName: internal-app # 使用上面创建的 serviceaccount 对象
      containers:
        - name: vault
          image: cnych/vault-demo:0.0.1

如果容器报错了 查看init容器日志

kubectl logs vault-demo-cf79bb8b-sgdh4 -n sijia-test -c vault-agent-init

查看容器日志

root@eks-manage-c100:/data/vault# kubectl logs  -n sijia-test  vault-demo-cf79bb8b-fq77p vault-agent
==> Vault Agent started! Log data will stream in below:

==> Vault Agent configuration:

           Api Address 1: http://bufconn
                     Cgo: disabled
               Log Level: info
                 Version: Vault v1.15.1, built 2023-10-20T19:16:11Z
2024-08-30T11:51:25.991Z [INFO]  agent.sink.file: creating file sink
2024-08-30T11:51:25.991Z [INFO]  agent.sink.file: file sink configured: path=/home/vault/.vault-token mode=-rw-r-----
             Version Sha: b94e275f25ccd9011146d14c00ea9e49fd5032dc

2024-08-30T11:51:25.991Z [INFO]  agent.exec.server: starting exec server
2024-08-30T11:51:25.991Z [INFO]  agent.exec.server: no env templates or exec config, exiting
2024-08-30T11:51:25.991Z [INFO]  agent.sink.server: starting sink server
2024-08-30T11:51:25.991Z [INFO]  agent.template.server: starting template server
2024-08-30T11:51:25.991Z [INFO] (runner) creating new runner (dry: false, once: false)
2024-08-30T11:51:25.991Z [INFO]  agent.auth.handler: starting auth handler
2024-08-30T11:51:25.991Z [INFO]  agent.auth.handler: authenticating
2024-08-30T11:51:25.991Z [INFO] (runner) creating watcher
2024-08-30T11:51:25.995Z [INFO]  agent.auth.handler: authentication successful, sending token to sinks
2024-08-30T11:51:25.995Z [INFO]  agent.auth.handler: starting renewal process
2024-08-30T11:51:25.995Z [INFO]  agent.sink.file: token written: path=/home/vault/.vault-token
2024-08-30T11:51:25.995Z [INFO]  agent.template.server: template server received new token
2024-08-30T11:51:25.995Z [INFO] (runner) stopping
2024-08-30T11:51:25.995Z [INFO] (runner) creating new runner (dry: false, once: false)
2024-08-30T11:51:25.995Z [INFO] (runner) creating watcher
2024-08-30T11:51:25.995Z [INFO] (runner) starting
2024-08-30T11:51:25.996Z [INFO]  agent.auth.handler: renewed auth token
root@eks-manage-c100:/data/vault#

五、检索vault secret

已经是边车模式了,vault-agent容器会管理token的声明周期和secret数据检索

/vault/secrets/database-config.txt,/vault/secrets路径是固定的。这个文件名称是deployment annotions里面生成的,vault.hashicorp.com/agent-inject-secret-database-config.txt: "internal/data/database/config"

kubectl exec -it -n sijia-test vault-demo-cf79bb8b-fq77p -c vault -- cat /vault/secrets/database-config.txt
data: map[password:bagapass username:baga]
metadata: map[created_time:2024-08-30T09:49:42.354666141Z custom_metadata:<nil> deletion_time: destroyed:false version:1]

放到业务中使用还有很多东西需要考虑,目前只是简单使用以下,token ttl需要考虑renew

sj1163739403
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S使用helm部署vault集群
ma_qi_chao的博客
12-22 1709
备注:为什么要进行vault初始化,如果不初始化,vault服务pod的READY会一直处于0/1状态,只有把vault的pod进行初始化生成初始token服务才会正常启动运行。备注:安装mysql只是测试vault加密的数据能否测试登录mysql,并不是把mysql作为vault数据库存储使用。以上完成了vault部署到测试的全部流程。
K8S使用helm部署vault集群_vault-unseal
m0_54903333的博客
05-16 704
需要完整版PDF学习资源Success!Success!Success!Success!/ $Success!Success!metadata:还有兄弟不知道网络安全面试可以提前刷题吗?
K8S - Minikube集群中使用helm部署 HashiCorp Vault
迦南的专栏
02-11 792
1、先决条件 Docker version $ docker version Client: Docker Engine - Community Version: 20.10.9 ## ... Minikube version $ minikube version minikube version: v1.11.0 commit: 1787477be296af47561833bcf69ef7a7c677933c Helm version
使用Helm简化k8s应用部署和管理
码农践行
03-12 912
【代码】使用Helm简化k8s应用部署和管理。
高级:K8Skubernetes)云计算案例实战.rar
09-13
5. 日志和监控:使用Elasticsearch、Prometheus、Grafana等工具收集和分析K8S集群的运行情况。 五、故障排查与维护 1. 健康检查:通过Liveness和Readiness Probes确保应用和服务的正常运行。 2. 事件查看:通过...
k8s-gitops:通过代码定义kubernetes集群状态的GitOps原理。 k8s @ home周围的社区不和谐:https:discord.gg7PbmHRK
02-03
在 "k8s-gitops" 的上下文中,我们探讨的是如何利用 GitOps 原理来定义和管理 Kubernetesk8s)集群的状态。通过这种方式,我们可以实现自动化部署、配置变更和持续交付流程。 GitOps 的核心思想是将集群的配置...
使用 k8s/istio/cert-manager 和 vault 保障应用的 tls 安全
NewTyun的博客
10-13 349
新钛云服已累计为您分享690篇技术干货前言Vault 是安全应用维护人员最喜欢的 hashcorp 产品之一 。Vault 是存储机密、证书、管理策略、加密数据等内容的安全工具。Vault 使用受信任的身份集中密码和控制访问权限,以此减少对静态、硬编码凭证的需求。它使用集中托管和受保护的加密密钥来动态和静态加密敏感数据,所有一切均可通过单个工作流和 API 实现。Istio 非常重要的一个功能是能...
用Helm3构建多层微服务
倚天码农的博客
11-29 2973
Helm是一款非常流行的k8s包管理工具。以前就一直想用它,但看到它产生的文件比k8s要复杂许多,就一直犹豫,不知道它的好处能不能抵消掉它的复杂度。但如果不用,而是用Kubectl来进行调式真的很麻烦。正好最近Helm3正式版出来了,比原来的Helm2简单了不少,就决定还是试用一下。结果证明确实很复杂,它的好处和坏处大致相当。有了它确实能大大简化对k8s的调式,但也需要花费比较多的时间来学习,而且...
k8s-cluster:我的Kubernetes(k3s)集群在家中运行在裸机上。 由GitOps(Flux v2)管理,使用Renovate Bot使所有内容保持最新
03-08
k3sup用于在服务器和代理程序节点上安装k3s。 Flux将集群与包含所有配置的git repo同步。 Renovatebot使配置保持最新。 高可用性 我们在每个服务器节点上使用Keepalived和HAProxy。 Keepalived在活动节点之间绕过...
k8s系列】驾驭容器化未来:Kubernetes Pod的全面解析与简单实践
Young_深情不及里子的博客
08-28 901
在当今快速发展的云计算和容器化技术领域,Kubernetes已经崭露头角,成为自动化容器操作的开源平台。在这个生态系统中,Pod作为Kubernetes的最小和最简单的单元,扮演着至关重要的角色。Pod不仅是容器的集合,更是资源共享和协同工作的基础。作为初探容器化技术的爱好者,笔者也是在k8s学习过程中根据自己的理解分享一下这块的具体内容,希望对感兴趣的小伙伴有所帮助~
kubeadm部署k8s1.25.3一主二从集群(Containerd)
weixin_58410911的博客
08-27 1222
k8s中Service有两种代理模式,一种是基于iptables的,一种是基于ipvs,两者对比ipvs负载均衡算法更加的灵活,且带有健康检查的功能,如果想要使用ipvs模式,需要手动载入ipvs模块。在master01节点初始化集群,查看集群所需镜像文件,ApiServer、ControllerManager、Schedule、kubeproxy都是以容器的方式运行,kubelet是yum安装。设置,需要配置并运行一个不使用 TLS 的镜像仓库。提示:不要忘了在每个节点都跑一遍环境初始化脚本!
【从问题中去学习k8sk8s中的常见面试题(夯实理论基础)(二十)
zerotoall的博客
08-27 612
思考一下问题: 88、 k8s集群外流量怎么访问Pod? 参考答案:
K8S(Kubernates) 知识目录
最新发布
王小工小工历程
08-31 375
K8S 知识目录 kubernates 学习要点,一文学让你了解kubernates的全部知识。
银河麒麟v10-sp3-x86系统安装k8s-1.30.4
qq_59634082的博客
08-30 995
以一个类比的方式来说,就好像开车上高速,如果路况通畅,车速可以很快,但是如果遇到堵车,需要走应急车道,就会耽误时间。:x86-64架构的处理器通常提供高性能的计算能力,支持大量的内存和复杂的操作系统,如Windows、Linux和macOS。交换分区的使用可以有效避免程序因为内存不足而崩溃或运行缓慢的问题,但是硬盘的读写速度比内存要慢得多,因此交换分区的使用会对系统的性能产生一定的影响。4、配合银河麒麟服务器的评估和迁移能力,降低用户业务系统适配国产架构平台难度,实现业务系统中服务器操作系统的无感迁移。
K8s系列之:K8s OPERATOR是什么
zhengzaifeidelushang的博客
08-28 1047
Kubernetes 的 Operator 模式概念允许你在不修改 Kubernetes 自身代码的情况下, 通过为一个或多个自定义资源关联控制器来扩展集群的能力。Operator 是 Kubernetes API 的客户端, 充当自定义资源的控制器。部署 Operator 最常见的方法是将自定义资源及其关联的控制器添加到你的集群中。Operator 模式会封装你编写的(Kubernetes 本身提供功能以外的)任务自动化代码。如果生态系统中没有可以实现你目标的 Operator,你可以自己编写代码。
容器编排工具的选择:KubernetesK8s)与 K3s 的权衡与实践|Kubernetes|K3s|容器编排|资源受限环境
08-31 327
在现代软件开发与部署过程中,容器编排工具的选择直接影响到系统的性能、管理的复杂性以及资源的利用率。KubernetesK8s)作为容器编排领域的事实标准,凭借其强大的功能与可扩展性,成为了大多数企业的首选。然而,对于资源受限的环境或者需要简化操作的场景,K3s 提供了一个轻量化的替代方案。本文将详细探讨 Kubernetes 和 K3s 的核心区别,以及在特定场景下如何选择最适合的容器编排解决方案。同时,我们将通过代码示例和实际案例,展示 K3s 在本地开发环境中的优势与便利之处,为开发者提供实用的指导。
K8S POD
王小工小工历程
08-27 1528
定义:在K8s中,容器是一种将应用程序及其依赖项打包在一起的轻量级、可移植和自包含的软件单元。特点轻量级:容器不需要额外的操作系统来运行应用程序,而是与宿主机共享操作系统内核,这使得容器的启动和停止更加迅速,并且可以在同一宿主机上运行更多的容器。可移植性:容器提供了一种统一的编排和部署方式,使得应用程序可以在不同的环境中轻松迁移和部署。隔离性:K8s容器能够实现隔离,使得不同的应用程序可以在同一台物理机或虚拟机上运行,彼此之间不会相互干扰。
kubenetes--资源调度
小李学不完的博客
08-25 1200
资源调度:Label和Selector:标签(Label)、选择器(Selector)。Deployment--无状态应用:功能、配置文件。StatefulSet:功能、配置文件。DaemonSet:配置文件、不指定Node节点、指定Node节点、滚动更新。HPA自动扩/缩容:开启指标服务、cpu、内存指标监控、自定义metrics。
Helm 3:部署复杂应用到K8s的高效解决方案
本文档详细介绍了如何使用Helm来部署应用到Kubernetes (k8s) 集群,特别是针对 Helm v3 版本的改进与优势。Kubernetes 上的传统部署方式,如直接使用kubectl apply-f部署,对于单一或少量服务尚可,但当面对复杂的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值