我正在考虑在不久的将来在Google Kubernetes Engine上部署集群。我还一直在研究使用Hashicorp的Vault,以管理我的集群可以访问的秘密。具体来说,我想利用动态机密来提高安全性。
但是,所有涵盖此类设置的文档和Youtube视频总是提到,严格专用于Vault的一组节点应作为各自独立的群集运行-因此需要更多的VM。
我很好奇这里是否可以采用无服务器方法。即,使用Google Cloud Run即时创建保险柜容器。
This video (should start at the right time)提到了Vault可以作为Deployment运行,所以我看不到状态有问题。而且,由于Google提到每个Cloud Run服务都有其自己的稳定HTTPS端点,因此我相信我可以简单地将此端点传递给我的配置,并且即使创建了新的实例,所有的pod都能够找到该服务。但是,我是使用Kubernetes的新手,所以不确定在这里是否完全正确。
具有使用Kubernetes和/或Vault的更多经验的人能否指出这种方法的潜在缺点?谢谢。
[自测试版开始3周,尚未正式宣布(应该在几天内),您可以查看secret-manager。我认为这是一个无服务器的秘密管理器,具有您需要的所有基本要求。
它尚未宣布的主要原因,是因为尚未发布/完成几种语言的客户端库。]
您的视频链接上的帅哥塞思·瓦尔戈(Seth Vargo)参与了这个项目。
他还发布了Berglas。它是用Python编写的,使用KMS来加密密码,并使用Google Cloud Storage来存储密码。我也推荐它。
我建立了python library to easily use Berglas secret in Python。
希望此秘密管理工具能够满足您的期望。无论如何,它都是无服务器的,而且很便宜!