如何使用 Vault 动态机密并将它们作为环境变量注入 Kubernetes 部署?

【问题标题】:How to use Vault dynamic secretes and inject them as Environment Variables to Kubernetes deployment?如何使用 Vault 动态机密并将它们作为环境变量注入 Kubernetes 部署?
【发布时间】:2020-11-09 09:44:46
【问题描述】:

我们在 k8s 上运行一个 Vault 集群(由 helm 部署)和一些微服务。 我们的 MongoDB atlas 连接字符串在微服务部署中配置为 ENV。 我们希望继续使用 ENV 而无需更改代码以读取 Vault 配置文件。因此,我们尝试了这里的示例:

https://www.vaultproject.io/docs/platform/k8s/injector/examples

向 ENV 注入有效,但是当保管库轮换凭证时,我们需要重新创建将再次注入 ENV 的 pod。

我想知道我们如何在 k8s 上使用带有 ENV 的 Vault 中的动态机密功能。如果您有任何建议。

谢谢

【问题讨论】:

    标签: kubernetes hashicorp-vault


    【解决方案1】:

    如果您使用环境变量来注入秘密,则每当秘密发生变化时(如您所见),您都需要重新创建 pod,因为环境变量仅在 pod 启动时生成 - 它不是可以更改正在运行的应用程序的环境变量。如果您希望您的应用程序支持在运行时更改的凭据,恐怕您需要向您的应用程序添加对它的支持(并在需要时从使用 env var 更改为从文件中读取详细信息)。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2019-11-16
      • 2019-03-09
      • 2020-10-05
      • 2019-07-04
      • 1970-01-01
      • 2022-10-25
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode