OpenShift 4 - 用 External Secret 集成 Hashicorp Vault

原创 已于 2025-04-08 08:11:59 修改 · 988 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#openshift #kubernetes #docker

于 2022-10-12 15:06:22 首次发布

OpenShift / RHEL / DevSecOps 汇总目录
文本已在 OpenShift 4.10 环境中进行验证。

文章目录

什么是 External Secret

External Secret 用来集成外部 Secret 管理系统,如 AWS Secrets Manager、HashiCorp Vault、Google Secrets Manager、Azure Key Vault。External Secret 从外部 Secret 管理系统中读取所需的信息,并自动将这些值注入到指定的 Secret 中。
在这里插入图片描述

安装配置

安装 Helm

curl -OL https://mirror.openshift.com/pub/openshift-v4/x86_64/clients/helm/latest/helm-linux-amd64
chmod +x helm-linux-amd64
sudo mv helm-linux-amd64 /usr/local/bin/helm

安装 Vault 环境

  1. 安装 hashicorp 的 Helm Repo。
helm repo add hashicorp https://helm.releases.hashicorp.com
  1. 下载 values.openshift.yaml 文件。
curl -OL https://raw.githubusercontent.com/hashicorp/vault-helm/main/values.openshift.yaml
  1. 查看 values.openshift.yaml 文件内容。
global:
  openshift: true
injector:
  image:
    repository: "registry.connect.redhat.com/hashicorp/vault-k8s"
    tag: "1.0.0-ubi"
  agentImage:
    repository: "registry.connect.redhat.com/hashicorp/vault"
    tag: "1.11.3-ubi"
server:
  image:
    repository: "registry.connect.redhat.com/hashicorp/vault"
    tag: "1.11.3-ubi"
  1. 执行命令在 vault 项目中安装 Hashicorp Vault。
oc new-project vault
helm install vault-server hashicorp/vault -f values.openshift.yaml
  1. 在 vault-server-0 的 Pod 状态为 Running 后初始化 Vault 服务。
$ oc get pod -n vault
NAME                                           READY   STATUS    RESTARTS   AGE
vault-server-0                                 0/1     Running   0          44s
vault-server-agent-injector-57dddc846b-fvxxk   1/1     Running   0          47s
 
$ oc exec -n vault -ti vault-server-0 -- vault operator init
Unseal Key 1: zRJqpv4wQWRMj0mkkSTHu9tpeaNu+x7xcnLf/B8gFvOD
Unseal Key 2: FPhr0NRHzhY21Jk3Qx2WsMmqBj+4xW2ZlHauw4DUHbnP
Unseal Key 3: x+bK1TWlrm11tL4a/jTOAyz89nVC58SBJf0e1ZHKEhYK
Unseal Key 4: clVpIBgJPaZoKteysjuBYULonEe5hOZ/Fs4Ky/ZUe38R
Unseal Key 5: DhDr8Y01Vq3kGrdeJBzIeKyIxf4zrmxuBTalZhxsIsJt
 
Initial Root Token: hvs.BLLImnznmIM1rf2ppHfyQIAP
  1. 使用上面的任意 3 个 Unseal Key 解封 Vault 环境,然后用 Root Token 登录 Vault。
oc exec -n vault -ti vault-server-0 -- vault operator unseal zRJqpv4wQWRMj0mkkSTHu9tpeaNu+x7xcnLf/B8gFvOD
oc exec -n vault -ti vault-server-0 -- vault operator unseal x+bK1TWlrm11tL4a/jTOAyz89nVC58SBJf0e1ZHKEhYK
oc exec -n vault -ti vault-server-0 -- vault operator unseal DhDr8Y01Vq3kGrdeJBzIeKyIxf4zrmxuBTalZhxsIsJt
oc exec -n vault -it vault-server-0 -- vault login hvs.BLLImnznmIM1rf2ppHfyQIAP
  1. 在 Vault 中的 secret/ 路径中增加名为 openshiftpullsecret 的 kv 类 Secret 存储,然后向其中添加数据 dockerconfigjson。
$ oc exec -n vault -it vault-server-0 -- vault secrets enable -path=secret/ kv
Success! Enabled the kv secrets engine at: secret/
 
$ oc exec -n vault -it vault-server-0 -- vault kv put secret/openshiftpullsecret dockerconfigjson='{"auths":{"cloud.openshift.com":{"auth":"3BlbnNoaWZ0LXJl==","email":"example@redhat.com"},"quay.io":{"auth":"ZZMVhJRUJUR1I3WUwxN05VMQ==","email":"example@redhat.com"},"registry.connect.redhat.com":{"auth":"3BlbnNoaWZ0LXJl==","email":"example@redhat.com"},"registry.redhat.io":{"auth":"==","email":"example@redhat.com"}}}'
Success! Data written to: secret/openshiftpullsecret
 
$ oc exec -n vault -it vault-server-0 -- vault kv get secret/openshiftpullsecret
========== Data ==========
Key                 Value
---                 -----
dockerconfigjson    {"auths":{"cloud.openshift.com":{"auth":"3BlbnNoaWZ0LXJl==","email":"example@redhat.com"},"quay.io":{"auth":"ZZMVhJRUJUR1I3WUwxN05VMQ==","email":"example@redhat.com"},"registry.connect.redhat.com":{"auth":"3BlbnNoaWZ0LXJl==","email":"example@redhat.com"},"registry.redhat.io":{"auth":"==","email":"example@redhat.com"}}}

安装 External Secret

  1. 执行命令,通过 Helm 在 external-secrets 项目中安装 external-secrets 运行环境。
$ helm repo add external-secrets https://charts.external-secrets.io
$ helm install external-secrets \
  external-secrets/external-secrets \
  -n external-secrets --create-namespace
  1. 查看运行的Pod 环境。
$ oc get pod -n external-secrets
NAME                                                READY   STATUS    RESTARTS   AGE
external-secrets-7886b578b4-dqplk                   1/1     Running   0          14s
external-secrets-cert-controller-5578bf565f-j2c44   1/1     Running   0          13s
external-secrets-webhook-69c58546c6-262bj           1/1     Running   0          13s

在应用项目中通过 External Secret 获取 Vault 中的 Secret

  1. 使用 Value 的 Root Token 创建一个 Secret。
$ ROOT_TOKEN=$(echo -n "ROOT-TOKEN" | base64)
$ cat << EOF | oc apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: vault-token
  namespace: vault
data:
  token: ${ROOT_TOKEN}
EOF
  1. 使用 vault 服务地址和上一步生成的 vault-token 作为认证信息,创建一个 ClusterSecretStore 对象。
$ cat << EOF | oc apply -f -
apiVersion: external-secrets.io/v1beta1
kind: ClusterSecretStore
metadata:
  name: vault-backend
spec:
  provider:
    vault:
      server: "http://vault-server-internal.vault:8200"
      path: "secret"
      version: "v1"
      auth:
        tokenSecretRef:
          name: "vault-token"
          key: "token"
          namespace: vault
EOF
  1. 创建应用项目 my-app。
$ oc new-project my-app
  1. 创建一个 ExternalSecret 对象,它会通过 ClusterSecretStore 访问 Vault 后端 secret/openshiftpullsecret 中的 dockerconfigjson 主键,并将其保存到名为 pullsecret 的 Secret 中。
$ cat << EOF | oc apply -f -
apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  name: pullsecret-eso
  namespace: my-app
spec:
  refreshInterval: "15s"
  secretStoreRef:
    name: vault-backend
    kind: ClusterSecretStore
  target:
    name: pullsecret
  data:
  - secretKey: dockerconfigjson
    remoteRef:
      key: secret/openshiftpullsecret
      property: dockerconfigjson
EOF
  1. 查看创建的 externalsecret 对象,其状态为 SecretSynced 说明已经从 Vault 后端完成 Secret 的数据同步。
$ oc get externalsecret pullsecret-eso -n my-app
NAME             STORE           REFRESH INTERVAL   STATUS         READY
pullsecret-eso   vault-backend   15s                SecretSynced   True
 
$ oc get externalsecret pullsecret-eso -n my-app -oyaml
apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"external-secrets.io/v1alpha1","kind":"ExternalSecret","metadata":{"annotations":{},"name":"pullsecret-eso","namespace":"my-app"},"spec":{"data":[{"remoteRef":{"key":"secret/openshiftpullsecret","property":"dockerconfigjson"},"secretKey":"dockerconfigjson"}],"refreshInterval":"15s","secretStoreRef":{"kind":"ClusterSecretStore","name":"vault-backend"},"target":{"name":"pullsecret"}}}
  creationTimestamp: "2022-09-25T13:58:37Z"
  generation: 1
  name: pullsecret-eso
  namespace: my-app
  resourceVersion: "454324"
  uid: b04ff758-dae9-4b3a-a4e2-14c5f94b3c1e
spec:
  data:
  - remoteRef:
      conversionStrategy: Default
      decodingStrategy: None
      key: secret/openshiftpullsecret
      property: dockerconfigjson
    secretKey: .dockerconfigjson
  refreshInterval: 15s
  secretStoreRef:
    kind: ClusterSecretStore
    name: vault-backend
  target:
    creationPolicy: Owner
    deletionPolicy: Retain
    name: pullsecret
status:
  conditions:
  - lastTransitionTime: "2022-09-25T13:58:38Z"
    message: could not get secret data from provider
    reason: SecretSyncedError
    status: "False"
    type: Ready
  refreshTime: null
  1. 查看名为 pullsecret 的 Secret 对象,它是 External Secret 根据 pullsecret-eso 的要求自动生成的。
$ oc get secrets pullsecret -n my-app
NAME            TYPE     DATA   AGE
pullsecret      Opaque   1      116s

$ oc get secrets pullsecret -n my-app -o yaml
apiVersion: v1
data:
  dockerconfigjson: eyJhdXRocyI6eyJjbG91ZC5vcGVuc2hpZnQuY29tIjp7ImF1dGgiOiIzQmxibk5vYVdaMExYSmw9PSIsImVtYWlsIjoiZXhhbXBsZUByZWRoYXQuY29tIn0sInF1YXkuaW8iOnsiYXV0aCI6IlpaTVZoSlJVSlVSMUkzV1V3eE4wNVZNUT09IiwiZW1haWwiOiJleGFtcGxlQHJlZGhhdC5jb20ifSwicmVnaXN0cnkuY29ubmVjdC5yZWRoYXQuY29tIjp7ImF1dGgiOiIzQmxibk5vYVdaMExYSmw9PSIsImVtYWlsIjoiZXhhbXBsZUByZWRoYXQuY29tIn0sInJlZ2lzdHJ5LnJlZGhhdC5pbyI6eyJhdXRoIjoiPT0iLCJlbWFpbCI6ImV4YW1wbGVAcmVkaGF0LmNvbSJ9fX0=
immutable: false
kind: Secret
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"external-secrets.io/v1alpha1","kind":"ExternalSecret","metadata":{"annotations":{},"name":"pullsecret-eso","namespace":"my-app"},"spec":{"data":[{"remoteRef":{"key":"secret/openshiftpullsecret","property":"dockerconfigjson"},"secretKey":".dockerconfigjson"}],"refreshInterval":"15s","secretStoreRef":{"kind":"ClusterSecretStore","name":"vault-backend"},"target":{"name":"pullsecret"}}}
    reconcile.external-secrets.io/data-hash: 2694caf8571c330a93cdbe61167ce782
  creationTimestamp: "2022-09-25T14:06:38Z"
  name: pullsecret
  namespace: my-app
  ownerReferences:
  - apiVersion: external-secrets.io/v1beta1
    blockOwnerDeletion: true
    controller: true
    kind: ExternalSecret
    name: pullsecret-eso
    uid: b04ff758-dae9-4b3a-a4e2-14c5f94b3c1e
  resourceVersion: "456916"
  uid: 6e02accd-cbf2-4885-b62d-4ce667806ce9
type: Opaque
  1. 确认 pullsecret 中的数据是经过 base64 后的受保护信息。
$ echo "$(oc get secrets pullsecret -n my-app -o jsonpath='{.data.dockerconfigjson}')" | base64 -d
{"auths":{"cloud.openshift.com":{"auth":"3BlbnNoaWZ0LXJl==","email":"example@redhat.com"},"quay.io":{"auth":"ZZMVhJRUJUR1I3WUwxN05VMQ==","email":"example@redhat.com"},"registry.connect.redhat.com":{"auth":"3BlbnNoaWZ0LXJl==","email":"example@redhat.com"},"registry.redhat.io":{"auth":"==","email":"example@redhat.com"}}}

参考

https://www.goglides.dev/bkpandey/how-to-manage-secrets-in-openshiftkubernetes-using-vault-and-external-secrets-1n6k
https://github.com/hashicorp/vault-helm/blob/main/values.openshift.yaml
https://faun.pub/setup-a-production-ready-vault-cluster-with-kubernetes-and-azure-30943ff91bf3
https://medium.com/hashicorp-engineering/consuming-secrets-in-your-openshift-applications-using-hashicorp-vault-injector-4fbf84156e7
https://picluster.ricsanfre.com/docs/vault/

使用 External Secrets Operator 安全管理 Kubernetes Secrets
NewTyun的博客
08-04 628
新钛云服已累计为您分享672篇技术干货关键要点· Kubernetes Secret 管理有助于将 Secret 与应用程序代码分离,并在需要时在集群中启用它们。·默认情况下,Secret 以不安全的 base64 形式存储,这是一种编码方法而不是加密。·第三方 Secret 管理系统是拥有集中、强大的 Secret 管理机制的更好的选择。· ESO 是一个 Kube...
【翻译】教程。如何用Hashicorp Vault设置外部秘密
超级码力
01-27 498
External Secrets是一个开源的Kubernetes运营商,它与AWS Secrets Manager、HashiCorp Vault、Google Secret Manager和Azure Key Vault等外部秘密管理系统集成,旨在实现将秘密从外部API同步到Kubernetes。该项目是作为 最近宣布的 CS实验室的一部分来管理的。 在本系列的前两篇文章中,我们研究了用AWS...
external-secrets:External Secrets Kubernetes操作员从第三方服务(如AWS Secrets Manager)读取信息,并自动将值作为Kubernetes Secrets注入
04-04
外部机密 External Secrets Kubernetes操作员从第三方服务(如读取信息,并自动将值作为注入。 多个人和组织正在共同努力,以基于现有项目创建单个“外部秘密”解决方案。 如果您对这个项目的起源感到好奇,请查看此和此 。 :warning: 请记住 当该项目尚未准备就绪时,您可以考虑使用以下方法: 安装 克隆此存储库: git clone https://github.com/external-secrets/external-secrets.git 安装自定义资源定义: make install 针对活动的Kubernetes集群上下文运行控制器: make run 应用样本资源: kubectl apply -f config/samples/external-secrets_v1alpha1_secretstore.yaml kubectl apply -f
kubernetes-external-secrets:将外部秘密管理系统与Kubernetes集成
01-30
:warning_selector: 存储库已移至外部机密 该项目已从移至GitHub组织,以合并具有相同目标的不同项目。 更多信息。 Kubernetes的外部秘密 Kubernetes外部机密使您可以使用外部机密管理系统(例如或在Kubernetes中安全地添加机密。 在上了解有关Kubernetes外部秘密的设计和动机的更多信息。 该项目以及相关的Kubernetes秘密管理项目的社区和维护者使用Kubernetes松弛上的通道进行讨论和集思广益。 这个怎么运作 该项目通过使用添加一个ExternalSecrets对象和一个控制器来实现对象本身的行为,从而扩展了Kubernetes API。 当控制器将所有ExternalSecrets转换为Secrets ,一个ExternalSecret声明如何获取秘密数据。 转换对可以正常访问Secrets Pods完全透明。 默认情况下, Secrets信息不会在静止状态下进行加密,并且可以通过etcd服务器或etcd数据的备份进行攻击。 为了降低这种风险,使用一个加密Secrets存储在ETCD。 系统架构 ExternalSe
External Secrets Operator (ESO) 技术实践指南:社区精选博客解析
gitblog_01079的博客
06-08 292
External Secrets Operator (ESO) 技术实践指南:社区精选博客解析 【免费下载链接】external-secrets External Secrets Operator reads information from a third-party service like AWS Secrets ...
externalsecret-operator:从云服务中获取机密并将其注入Kubernetes的操作员
01-29
外部秘密操作员 该操作员从第三方服务(例如或读取信息,并自动将值作为注入。 目录 产品特点 机密信息会不时刷新,从而使您可以轮换提供程序中的机密信息,同时仍使k8s集群中的所有内容保持最新。 更改机密的刷新间隔以符合您的需求。 如果您需要调试某些东西(请注意API速率限制),甚至可以将其设置为10s。 对于AWS Backend,我们同时支持简单的密钥和binfile。 您可以获取特定版本的秘密,也可以获取最新版本的秘密。 如果您在ExternalSecret CR中进行了更改,则操作员将对其进行协调(即使刷新间隔很大)。 目前支持AWS Secret Manager,Credstash(AWS KMS),Azure Key Vault,Google Secret Manager和Gitlab后端! 快速开始 使用Kustomize 安装操作员CRD 安装CRD make install 它有什么作用? 给定在AWS Secrets Manager中定义的机密: % aws secretsmanager create-secret \ --name=exampl
探索External-Secrets:安全高效地管理你的应用密钥
gitblog_00068的博客
03-22 669
探索External-Secrets:安全高效地管理你的应用密钥 【免费下载链接】external-secrets External Secrets Operator reads information from a third-party service like AWS Secrets Manager and aut...
vault-service-broker:HashiCorp Vault Vault代理正式集成到Open Service Broker API。 该服务代理为HashiCorp Vault提供安全秘密存储和加密即服务的支持
05-24
Vault服务器无需在Cloud Foundry,OpenShiftKubernetes等环境下运行,但是必须在这些环境中或部署了代理的任何位置都可以访问。 这些入门说明假定将Vault服务器的地址和令牌指定为以下环境变量: $ export ...
ocp-vault-poc:将Hashicorp Vault集成到应用程序的Openshift中的概念证明“未内置本机Vault逻辑”
05-08
Hashicorp Vault集成到应用程序的Openshift中的概念证明“未内置本机Vault逻辑”。 介绍 这些说明将使您能够在本地计算机上获取工作PoC的副本,以进行部署和测试。 概念看... 通用保管库概念 安装方式:密封/开封...
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
Kubernetes External Secrets:解锁K8s集群的数据管理新维度
gitblog_00012的博客
03-23 361
Kubernetes External Secrets:解锁K8s集群的数据管理新维度 项目简介 是一个开源项目,旨在帮助开发者和运维人员在Kubernetes(K8s)环境中安全、灵活地管理和更新来自外部数据源的机密信息。通过这个项目,你可以将诸如数据库凭证、API密钥或任何敏感数据存储在外部系统(如AWS SSM、Vault等),然后在Kubernetes pod中按需透明地使用这些数据。 技...
外部秘密管理器(External Secrets Operator)安装与使用指南
gitblog_00473的博客
08-07 871
外部秘密管理器(External Secrets Operator)安装与使用指南 external-secretsExternal Secrets Operator reads information from a third-party service like AWS Secrets Manager and automatically injects the values as Kuber...
Kubernetes External Secrets:安全管理您的Kubernetes秘密
gitblog_00726的博客
08-28 271
Kubernetes External Secrets:安全管理您的Kubernetes秘密 项目介绍 Kubernetes External Secrets 是一个开源项目,旨在通过集成外部秘密管理系统(如 AWS Secrets Manager 或 HashiCorp Vault)来增强 Kubernetes 中的秘密管理。该项目通过自定义资源定义(CRD)和控制器,实现了从外部系统到 Kub...
【翻译】教程。如何用GCP秘密管理器设置外部秘密
超级码力
02-03 695
在这篇关于外部秘密的 "如何做 "系列的文章中,我们将关注谷歌云秘密管理器。我们将配置外部秘密以使用秘密管理器实例作为秘密提供者。 但首先,快速回顾一下。由Container Solutions和GoDaddy发起的External Secrets是一个开源的Kubernetes运营商,它集成了外部秘密管理系统,包括AWS Secrets Manager、HashiCorp Vault、Goog...
【翻译】外部秘密社区的诞生
超级码力
03-26 1929
Kubernetes中管理秘密可能是一项繁琐的工作。在一个多服务多环境的设置中,你可能在不知不觉中拥有数百个秘密。很难跟踪所有的东西,同时管理秘密的轮换,加入新的服务,并以正确的访问权限加入新的人员。有很多现有的解决方案来管理这些问题,如AWS Secret Manager和Vault。这些解决方案的功能通常远远超过我们在库存Kubernetes中的功能。而你的组织很有可能已经在使用这样的解决方...
External Secrets Operator 安全模型深度解析与防护指南
最新发布
gitblog_00744的博客
06-08 412
External Secrets Operator 安全模型深度解析与防护指南 【免费下载链接】external-secrets External Secrets Operator reads information from a third-party service like AWS Secrets Manager ...
External Secrets Operator 使用教程
gitblog_00673的博客
08-07 1008
External Secrets Operator 使用教程 external-secretsExternal Secrets Operator reads information from a third-party service like AWS Secrets Manager and automatically injects the values as Kubernetes Secre...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值