Vault with k8s: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
Строка 10: Строка 10:
 
==Схема работы==
 
==Схема работы==
   
1. Создается сервисный аккаунт
+
1. Создается сервисный аккаунт <BR>
2. Запускается POD с этим сервисным аккаунтом
+
2. Запускается POD с этим сервисным аккаунтом <BR>
3. Под получает адрес Vault (в моем случае - вычитывает из Consul но это не принципиально)
+
3. Под получает адрес Vault (в моем случае - вычитывает из Consul но это не принципиально) <BR>
4. Авторизуется в Vault под определенной ролью используя JWT
+
4. Авторизуется в Vault под определенной ролью используя JWT <BR>
5 Vault возвращает токе с политиками назначенными на роль
+
5 Vault возвращает токе с политиками назначенными на роль <BR>
5. POD читает из Vault используя полученный токен
+
5. POD читает из Vault используя полученный токен <BR>
 
 
 
   
 
=Ссылки=
 
=Ссылки=

Версия 13:05, 29 января 2019


Авторизация контейнеров/PODов в Hashicorp Vault

Задача - использовать сервисные аккаунты кубернетиса для авторизации а Hashicorp Vault

Схема работы

1. Создается сервисный аккаунт
2. Запускается POD с этим сервисным аккаунтом
3. Под получает адрес Vault (в моем случае - вычитывает из Consul но это не принципиально)
4. Авторизуется в Vault под определенной ролью используя JWT
5 Vault возвращает токе с политиками назначенными на роль
5. POD читает из Vault используя полученный токен

Ссылки