Vault with k8s: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) |
||
| Строка 10: | Строка 10: | ||
==Схема работы== |
==Схема работы== |
||
| − | 1. Создается сервисный аккаунт |
+ | 1. Создается сервисный аккаунт <BR> |
| − | 2. Запускается POD с этим сервисным аккаунтом |
+ | 2. Запускается POD с этим сервисным аккаунтом <BR> |
| − | 3. Под получает адрес Vault (в моем случае - вычитывает из Consul но это не принципиально) |
+ | 3. Под получает адрес Vault (в моем случае - вычитывает из Consul но это не принципиально) <BR> |
| − | 4. Авторизуется в Vault под определенной ролью используя JWT |
+ | 4. Авторизуется в Vault под определенной ролью используя JWT <BR> |
| − | 5 Vault возвращает токе с политиками назначенными на роль |
+ | 5 Vault возвращает токе с политиками назначенными на роль <BR> |
| − | 5. POD читает из Vault используя полученный токен |
+ | 5. POD читает из Vault используя полученный токен <BR> |
| − | |||
| − | |||
| − | |||
=Ссылки= |
=Ссылки= |
||
Версия 14:05, 29 января 2019
Авторизация контейнеров/PODов в Hashicorp Vault
Задача - использовать сервисные аккаунты кубернетиса для авторизации а Hashicorp Vault
Схема работы
1. Создается сервисный аккаунт
2. Запускается POD с этим сервисным аккаунтом
3. Под получает адрес Vault (в моем случае - вычитывает из Consul но это не принципиально)
4. Авторизуется в Vault под определенной ролью используя JWT
5 Vault возвращает токе с политиками назначенными на роль
5. POD читает из Vault используя полученный токен
