我正在尝试找到一个合适的保险库用于Kubernetes本身以及将在容器上运行的应用程序。到目前为止,许多资源都指向Hashicorp保险库。 CoreOS有一个金库运营商,但自4月以来它似乎已经放弃了。
我们使用EKS在AWS上运行Kubernetes。
有什么建议可以选择使用吗?我很感兴趣,看看今天用于此目的的最佳选择是什么。
谢谢!
格雷格
在撰写本文时,CoreOS Vault operator是测试版。我不建议在prod中使用它。还有一个Bootsport Vault Operator,但似乎也没有准备好。
IMO,截至目前,你最好运行独立的Vault Kubernetes Deployments或StatefulSet。您可以使用像this或this这样的东西来开始。注意:仍然使用它需要您自担风险。
我试过设置CoreOS Vault Operator!使用helm Vault运营商将为我们配置保险库pod。但我发现很难为Vault添加更多配置。例如,如果要将Vault与AWS KMS集成。
经过考虑,我决定使用Vault!使用Consul存储后端和AWS KMS。金库吊舱将具有作为边车集装箱运行的领事代理。
这是配置的一部分
storage:
consul:
address: "localhost:8500"
path: vault
seal:
awskms:
region: "us-east-1"
kms_key_id: "XXXX-YYYY-ZZZZ"
access_key:
secret_key:
我们的用例是使用Vault来管理k8s中的动态秘密