资讯专栏INFORMATION COLUMN

vault-使用kubernetes作为认证后端

chuyao / 677人阅读

摘要:使用认证配置可以使用的进行认证在为创建账号,用于调用找到的以及把图中的以及用解码得到证书使用配置认证是上图中用解码的值是的地址是上图中用解码的值存储的文件路径,允许调用的使用的认证创建认证对应里面创建的,对应里面的

vault使用kubernetes认证 配置

vault可以使用kubernetes的serviceaccount进行认证

#在kubernetes为vault创建serviceaccount账号,用于调用api
kubectl create sa vault-auth
#找到vault-auth的token以及ca
kubectl get secret |grep vault-auth-token |awk "{print $1}"|xargs kubectl get -o yaml secret

把图中的ca.crt以及token用base64解码得到证书

# 使用vault-cli配置kubernetes认证
vault auth enable kubernetes

#token_reviewer_jwt是上图中token用base64解码的值
# kubernetes_host是kubernetes-api-server的地址
# kubernetes_ca_cert是上图中ca.crt用base64解码的值存储的文件路径,
vault write auth/kubernetes/config 
    token_reviewer_jwt="reviewer_service_account_jwt" 
    kubernetes_host=https://192.168.99.100:8443 
    kubernetes_ca_cert=@ca.crt
    
# 允许vault调用kubernetes的sa-api
# cat rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: role-tokenreview-binding
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:auth-delegator
subjects:
- kind: ServiceAccount
  name: vault-auth
  namespace: default
#kubectl apply -f rbac.yaml
使用kubernetes的serviceaccount认证 vault创建role
vault write auth/kubernetes/role/demo 
    bound_service_account_names=vault-auth 
    bound_service_account_namespaces=default 
    policies=default 
    ttl=1h
认证
#role对应vault里面创建的role,jwt对应kubernetes里面serviceaccount的token
curl https://vault:8200/auth/kubernetes/login -XPOST -d "{"role": "demo", "jwt": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."}"

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/11349.html

相关文章

  • vault-服务器密码/证书管理工具

    摘要:在把数据写入存储后端之前会先将数据加密,所以即使你直接读取存储后端数据也无法拿到真正的数据。数据加密可以在不对数据存储的情况下,对数据进行加密和解密。作为证书服务器能够作为服务器,根据请求信息自动颁发证书。 vault介绍 vault是什么 vault是一个密码/证书集中式管理工具,通过HTTP-API对外提供统一的密码访问入口,并且提供权限控制以及详细的日志审计功能。 一个系统可能需...

    zhaofeihao 评论0 收藏0
  • vault-图形界面

    摘要:官方没有提供图形界面功能,比较了几个开源的图形界面之后,觉得的功能相对完善。 vault官方没有提供图形界面功能,比较了几个开源的图形界面之后,觉得goldfish的功能相对完善。 goldfish部署 sudo mkdir /opt/goldfish && sudo chown `whoami:whoami` git clone https://github.com/Caiyeon...

    kuangcaibao 评论0 收藏0
  • Kubernetes系统架构演进过程与背后驱动的原因

    摘要:本文中,我们将描述系统的架构开发演进过程,以及背后的驱动原因。应用管理层提供基本的部署和路由,包括自愈能力弹性扩容服务发现负载均衡和流量路由。 带你了解Kubernetes架构的设计意图、Kubernetes系统的架构开发演进过程,以及背后的驱动原因。 showImg(https://segmentfault.com/img/remote/1460000016446636?w=1280...

    wuaiqiu 评论0 收藏0
  • 数人云|20种终极工具,为你的Docker搭建安全防火墙

    摘要:为容器设计的商业安全套件,功能包括安全审计容器镜像验证运行时保护自动策略学习或入侵预防。基于一种称为的新内核技术,允许根据容器身份定义并执行网络层和层安全策略。自动发现应用程序容器和服务的行为,以及与其他类似方式检测安全升级和其他威胁。 数人云:随着越来越多的企业将生产工作负载迁移到容器当中,关于Docker的安全性,成了普遍关注的问题。 这是一个简单却又没有答案的问题,不要试图用二进...

    jlanglang 评论0 收藏0
  • Kubernetes集群中的高性能网络策略

    摘要:自从月份发布以来,用户已经能够在其集群中定义和实施网络策略。吞吐量即以测量的数据传输速度和延迟完成请求的时间是网络性能的常用度量。文章网络延迟和比较的网络方案已经检查了运行覆盖网络对吞吐量和延迟的性能影响。 自从7月份发布Kubernetes 1.3以来,用户已经能够在其集群中定义和实施网络策略。这些策略是防火墙规则,用于指定允许流入和流出的数据类型。如果需要,Kubernetes可以...

    U2FsdGVkX1x 评论0 收藏0

发表评论

0条评论

chuyao

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<