没有在 kubernetes 中获取 Hashicorp 保险库秘密答案

【问题标题】：Hashicorp vault secrets not fetched in kubernetes没有在 kubernetes 中获取 Hashicorp 保险库秘密
【发布时间】：2022-08-08 21:48:14
【问题描述】：

我在保险库中创建了一些秘密，我正在传递如下变量。但秘密没有被提取。

annotations:
        vault.hashicorp.com/agent-inject: \'true\'
        vault.hashicorp.com/agent-vault-addr: \'https://vaultadd.com\'
        vault.hashicorp.com/auth-type: \'approle\'
        vault.hashicorp.com/auth-path: \'auth/approle\'
        vault.hashicorp.com/auth-config-role-id-file-path: \'/vault/custom/role-id\'
        vault.hashicorp.com/auth-config-secret-id-file-path: \'/vault/custom/secret-id\'
        vault.hashicorp.com/agent-extra-secret: \'mysecret\'
        vault.hashicorp.com/role: \'myrole\'
        vault.hashicorp.com/auth-config-remove_secret_id_file_after_reading: \'false\'
        vault.hashicorp.com/log-level: \'debug\'
        vault.hashicorp.com/agent-inject-secret-MY-SECRET: \'secret/mysecret/secrets\'
        vault.hashicorp.com/agent-inject-template-MY-SECRET: |
             {{ with secret \"secret/mysecret/secrets\" -}}
               export username={{ .Data.username}}
               export password={{ .Data.password }}
             {{- end }}

我在下面提到的 Args

args:
            [\"sh\", \"-c\", \"source /vault/secrets/config && MY_ENTRYPOINT\"]

标签： kubernetes vault

【解决方案1】：

请使用environment 变量注释而不是文件模板注释。

请更改注释如下

vault.hashicorp.com/agent-inject-secret-config: 'secret/mysecret/secrets'
vault.hashicorp.com/agent-inject-template-config: |
             {{ with secret "secret/mysecret/secrets" -}}
               export username={{ .Data.username}}
               export password={{ .Data.password }}
             {{- end }}

【讨论】：

你做的和我知道的一样。您的代码似乎没有什么不同
提供的示例中使用的注释不同，它是针对环境变量的。它也与您使用的变量相匹配。
我正在使用 approle auth 方法，它需要提到的所有参数。
给出的注释可以与 Auth 注释一起使用。无需更改与身份验证相关的注释。

【解决方案2】：

如果您使用的是最新的 KV2，则密钥的路径是 <KV2-root-path>/data/<path-within-the-kv2>

因此，如果您的 KV2 被称为 secret，那么：... with secret secret/data/mysecret/secrets ...

保险库代理边车是否已注入？它有任何日志吗？

【讨论】：