O produto descrito nesta documentação, Anthos Clusters na AWS (geração anterior), está em modo de manutenção . Todas as novas instalações devem usar o produto da geração atual, Anthos Clusters na AWS .

Esta página foi traduzida pela API Cloud Translation.

Usando o HashiCorp Vault no GKE na AWS

O HashiCorp Vault é uma solução de gerenciamento de segredos de terceiros que se integra ao Kubernetes e ao GKE na AWS.

Você pode implantar o Vault no GKE na AWS usando:

Gráfico oficial do Helm da HashiCorp
Vault no GKE , que é instalado com o Terraform.

Você pode acessar os segredos do Vault dentro dos pods usando o injetor do Agent Sidecar. O injetor é um Controlador Webhook Mutante do Kubernetes . O controlador intercepta eventos do Pod e atualiza a configuração do Pod.

O Injetor do Agente do Vault usa a Conta de Serviço do Kubernetes (KSA) de um Pod com o método de Autenticação do Kubernetes do Vault. A conta KSA deve estar vinculada a uma função do Vault com uma política que conceda acesso aos segredos.

Uma vez configurado, você pode solicitar segredos anotando um Pod.

O snippet a seguir inclui anotações que você adicionaria a um Pod. Se a função myapp tiver acesso ao secret/banana , o Vault o montará em /vault/secrets/apple .

spec:
  template:
    metadata:
      annotations:
        vault.hashicorp.com/agent-inject: "true"
        vault.hashicorp.com/agent-inject-secret-apple: "secrets/banana"
        vault.hashicorp.com/role: "myapp"

Você pode aplicar esta configuração:

Para um Pod com kubectl edit pod/ pod-name .
Para uma implantação com kubectl edit deployment/ deployment-name .

O que vem a seguir

Leia a documentação do Vault Injector .
Revise o repositório GitHub vault-k8s .

Usando o HashiCorp Vault no GKE na AWS Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

O que vem a seguir

Usando o HashiCorp Vault no GKE na AWS