我们的应用程序使用的所有秘密都存储在 Vault 中。在部署过程中,我们利用内部工具从 Vault 检索机密并将其加载到 Pod 上。现在,我们有一个秘密,每个月都会更新,并且需要重新启动或部署。是否有可用的解决方案,可以在 Vault 上修改机密时自动更新 Pod 上的机密?仅供参考 - 我们的秘密作为文件加载到 Pod 上。
我上网查了一下,看到两个选项:
1 - Vault Agent 用作侧车容器 2 - Vault 操作员(新东西)
Sidecar 非常适合。
Hashicorp Vault Secrets Operator 也能做到这一点,我猜——我不知道,TBH。
您可以将机密附加为 CSI 卷
使用 Hashicorp Vault Agent
注入它们我们可以提到:External Secrets Operator,它可以与其他保管库集成(例如:aws、远程 kubernetes 集群 API,...)
vault Secrets 操作员会将新更改的动态凭证推送到 k8s 中,而不是推送到我们使用 VSO 完成的 pod 中,它可以很好地从Vault 获取新凭证到 k8s 秘密
对于动态信用使用
renewalPercent:80 通过此获得新积分
如果它是静态的东西那么给
刷新后:10s