如何使用Spinnaker和Hashicorp Vault创建kubernetes密钥

Question

我们的Hashicorp Vault服务器上有一大堆秘密。我们已经开始测试spinnaker在Kubernetes上的部署，但我没有看到任何关于如何在kubernetes上创建从Hashicorp Vault读取的秘密的文档。

有人能为我指出正确的方向吗？使用Spinnaker创建秘密是否可取，或者我们是否应该仅将其严格用于部署？

Answer 1

通过spinnaker创建secret的问题是，您首先将secret的内容保存在哪里，以便能够从它创建secret。无论你把它放在哪里，它都会带来妥协的风险。因此，我建议在运行时使用sidecar注入器动态创建密钥。

HashiCorp Vault sidecar注入剂就是一种可以用于这一目的的工具。注入器是Kubernetes的变种Webhook控制器。控制器截获pod事件，如果请求中存在注释，则将突变应用于pod。

由于密钥直接作为VolumeMounts从保险存储服务器注入到pod中，因此与通过Spinnaker创建密钥相比，泄露的机会较小