我正在尝试为 Kubernetes 本身和将在容器上运行的应用找到合适的保管库。到目前为止,许多资源都指向 Hashicorp 保险库。 CoreOS 有一个保管库运营商,但它似乎自 4 月以来就被放弃了。
我们使用 EKS 在 AWS 上运行 Kubernetes。
有什么建议可以使用吗?我很想看看今天最常用于此目的的最佳选择是什么。
谢谢!
格雷格
【问题讨论】:
标签: amazon-web-services kubernetes hashicorp-vault
CoreOS Vault operator 在撰写本文时为测试版。我不建议在产品中使用它。还有一个Bootsport Vault Operator,但似乎也没有准备好。
IMO,到目前为止,您最好运行独立的 Vault Kubernetes Deployments 或 StatefulSet。您可以使用 this 或 this 之类的东西来让自己开始。注意:仍然使用它需要您自担风险。
【讨论】:
我尝试设置CoreOS Vault Operator!使用 helm Vault 操作员将为我们配置 Vault pod。但是我发现很难为 Vault 添加更多配置。例如,如果您想将 Vault 与 AWS KMS 集成。
经过考虑,我决定使用Vault!使用 Consul 存储后端和 AWS KMS。 vault pod 将有 consul 代理作为 sidecar 容器运行。
这里是部分配置
storage:
consul:
address: "localhost:8500"
path: vault
seal:
awskms:
region: "us-east-1"
kms_key_id: "XXXX-YYYY-ZZZZ"
access_key:
secret_key:
我们的用例是使用 vault 来管理我们在 k8s 中的动态机密
【讨论】: