作者/叶士博
一. helm3部署Vault到Kubernetes
注意点:Vault chart与helm 2 chart不兼容,需要使用helm 3。
1. 设置helm 3存储库。
helm repo add hashicorp https://helm.releases.hashicorp.com2. 检查您是否有权访问图表, 列出可用的版本。
helm search repo hashicorp/vault --versions3. 空运行helm install, 检查chart。
helm install vault hashicorp/vault --version 0.19.0 --dry-run4. 正式安装(本文安装开发模式,正式场景不推荐)。
helm install vault hashicorp/vault --version 0.19.0 --set "server.dev.enabled=true" 或者自定义配置override-values.yaml使用从文件中读取的值覆盖默认配置, 具体配置参考官网(https://learn.hashicorp.com/tutorials/vault/kubernetes-raft-deployment-guide?in=vault/kubernetes#configure-vault-helm-chart)。
helm install vault hashicorp/vault --version 0.19.0 -f override-values.yml二. 配置 Vault
在用户或机器可以进行身份验证之前,必须提前配置身份验证方法。
1. 开启Kubernetes认证方式。
vault auth enable kubernetes2. 添加Kubernetes配置。
使用/config端点配置Vault以与Kubernetes通信。用于kubectl cluster-info验证Kubernetes主机地址和TCP端口。有关可用配置选项的列表,请参阅API文档(https://www.vaultproject.io/api/auth/kubernetes)。
vault write auth/kubernetes/config \
token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443" \
kubernetes_ca_cert=@/var/run/secrets/kubernetes.io/serviceaccount/ca.crt注意:Vault用于验证Pod的模式取决于在网络上共享JWT令牌。鉴于Vault的安全模型,这是允许的,因为Vault是可信计算库的一部分。一般来说,Kubernetes应用程序不应与其他应用程序共享此JWT,因为它允许代表Pod进行API调用,并可能导致向第三方授予意外访问权限。
其中token_reviewer_jwt和kubernetes_ca_cert都是Kubernetes默认注入到Pod中的,而环境变量KUBERNETES_PORT_443_TCP_ADDR也是内置的表示Kubernetes APIServer的内网地址。为了让客户端读取上一步定义在internal/database/config路径下面的secret数据,还需要为该路径授予read的权限。
3. 创建Vault权限策略。
$ vault policy write internal-test - <<EOH
path "internal/data/database/config" { capabilities = ["read"] }
EOH每次重新设置会覆盖上次一的权限策略。
4. 创建认证角色。
vault write auth/kubernetes/role/demo \
bound_service_account_names=vault-auth \
bound_service_account_namespaces=default \
policies=internal-test \
ttl=24h该角色将Kubernetes default命名空间下面的名为internal-app的ServiceAccount与Vault的internal-app策略连接在了一起,认证后返回的Token有24小时的有效期。
5. 添加密钥。
三. 创建Kubernetes RBAC权限
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: internal-test # 需要和上面的 bound_service_account_names 一致
namespace: default # 需要和上面的 bound_service_account_namespaces 一致
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
name: vault-clusterrolebinding
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: system:auth-delegator
subjects:
- kind: ServiceAccount
name: internal-test
namespace: default
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: vault-secretadmin-role
rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["*"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: vault-secretadmin-rolebinding
subjects:
- kind: ServiceAccount
name: internal-test
roleRef:
kind: Role
name: vault-secretadmin-role
apiGroup: rbac.authorization.k8s.io四. 使用Kubernetes访问Vault的secret
使用Vault SDK访问secret,token可以通过命令行kubectl describe secrets查看。
package main
import (
"fmt"
"io/ioutil"
vaultApi "github.com/hashicorp/vault/api"
)
var (
vaultHost string
vaultServiceAccount string
vaultJWTPath string
)
func main() {
// 存放 token的 位置
vaultJWTPath = "/var/run/secrets/kubernetes.io/serviceaccount/token"
vaultServiceAccount = "internal-test"
tlsConfig := &vaultApi.TLSConfig{
Insecure: false,
}
config := vaultApi.DefaultConfig()
// todo,配置 vault 地址
config.Address = fmt.Sprintf("https://%s", vaultHost)
config.ConfigureTLS(tlsConfig)
client, _ := vaultApi.NewClient(config)
buf, _ := ioutil.ReadFile(vaultJWTPath)
jwt := string(buf)
options := map[string]interface{}{
"jwt": jwt,
"role": vaultServiceAccount,
}
loginSecret, err := client.Logical().Write("auth/kubernetes/login", options)
if err != nil{
panic( err)
}
client.SetToken(loginSecret.Auth.ClientToken)
// internal/data/database/config 为 vault 中设置 权限策略 的 path
secret, err := client.Logical().Read("internal/data/database/config")
if err != nil{
panic( err)
}
fmt.Println(secret)
}LStack产品简介
面向行业应用开发商(ISV/SI)提供混合云/边缘云场景下云原生应用开发测试、交付、运维一站式服务,帮助企业采用云原生敏捷开发交付方法论,从而提高软件开发人员效率、减少运维成本,加快数字化转型,并最终实现业务创新。
-End-