如何使用Spinnaker和Hashicorp Vault创建kubernetes秘密

我们在Hashicorp Vault服务器上有很多秘密。我们已经开始测试可在Kubernetes上部署的大三角帆，但我看不到任何有关如何从Hashicorp Vault阅读有关如何在kubernetes上创建秘密的文档。

有人可以为此指出正确的方向吗？甚至建议使用Spinnaker创建机密，还是应该严格将其用于部署？

通过大三角帆创建机密的问题在于，您首先将机密内容保留在哪里，以便能够从中创建机密。无论您将其放在哪里，都可能会造成妥协的风险。因此，我建议使用Sidecar注入器在运行时动态创建秘密。

HashiCorp Vault sidecar注入器代理是可用于此目的的工具。注入器是Kubernetes突变Webhook控制器。如果请求中存在批注，则控制器将拦截pod事件并将突变应用于pod。

由于秘密是作为Vault服务器中的VolumeMounts作为VolumeMounts直接注入到容器中的，因此与通过Spinnaker创建秘密相比，泄露的机会要小

相关问答