vault-使用kubernetes作為認證后端

chuyao 發布于2019-06-21 16:43 / 726人閱讀

摘要：使用認證配置可以使用的進行認證在為創建賬號，用于調用找到的以及把圖中的以及用解碼得到證書使用配置認證是上圖中用解碼的值是的地址是上圖中用解碼的值存儲的文件路徑，允許調用的使用的認證創建認證對應里面創建的，對應里面的

vault使用kubernetes認證 配置

vault可以使用kubernetes的serviceaccount進行認證

#在kubernetes為vault創建serviceaccount賬號，用于調用api
kubectl create sa vault-auth
#找到vault-auth的token以及ca
kubectl get secret |grep vault-auth-token |awk "{print $1}"|xargs kubectl get -o yaml secret

把圖中的ca.crt以及token用base64解碼得到證書

# 使用vault-cli配置kubernetes認證
vault auth enable kubernetes

#token_reviewer_jwt是上圖中token用base64解碼的值
# kubernetes_host是kubernetes-api-server的地址
# kubernetes_ca_cert是上圖中ca.crt用base64解碼的值存儲的文件路徑，
vault write auth/kubernetes/config 
    token_reviewer_jwt="reviewer_service_account_jwt" 
    kubernetes_host=https://192.168.99.100:8443 
    kubernetes_ca_cert=@ca.crt

# 允許vault調用kubernetes的sa-api
# cat rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: role-tokenreview-binding
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:auth-delegator
subjects:
- kind: ServiceAccount
  name: vault-auth
  namespace: default
#kubectl apply -f rbac.yaml

使用kubernetes的serviceaccount認證 vault創建role

vault write auth/kubernetes/role/demo 
    bound_service_account_names=vault-auth 
    bound_service_account_namespaces=default 
    policies=default 
    ttl=1h

認證

#role對應vault里面創建的role，jwt對應kubernetes里面serviceaccount的token
curl https://vault:8200/auth/kubernetes/login -XPOST -d "{"role": "demo", "jwt": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."}"

GPU云服務器云服務器 kubernetes使用物聯網使用云平臺作為服務器 vault 免費使用ca認證

文章版權歸作者所有，未經允許請勿轉載,若此文章存在違規行為，您可以聯系管理員刪除。

轉載請注明本文地址：http://m.specialneedsforspecialkids.com/yun/11349.html

vault-服務器密碼/證書管理工具

摘要：在把數據寫入存儲后端之前會先將數據加密，所以即使你直接讀取存儲后端數據也無法拿到真正的數據。數據加密可以在不對數據存儲的情況下，對數據進行加密和解密。作為證書服務器能夠作為服務器，根據請求信息自動頒發證書。 vault介紹 vault是什么 vault是一個密碼/證書集中式管理工具，通過HTTP-API對外提供統一的密碼訪問入口，并且提供權限控制以及詳細的日志審計功能。一個系統可能需...

zhaofeihao 2019-06-21 16:39 評論0 收藏0
vault-圖形界面

摘要：官方沒有提供圖形界面功能，比較了幾個開源的圖形界面之后，覺得的功能相對完善。 vault官方沒有提供圖形界面功能，比較了幾個開源的圖形界面之后，覺得goldfish的功能相對完善。 goldfish部署 sudo mkdir /opt/goldfish && sudo chown `whoami:whoami` git clone https://github.com/Caiyeon...

kuangcaibao 2019-06-21 16:41 評論0 收藏0
Kubernetes系統架構演進過程與背后驅動的原因

摘要：本文中，我們將描述系統的架構開發演進過程，以及背后的驅動原因。應用管理層提供基本的部署和路由，包括自愈能力彈性擴容服務發現負載均衡和流量路由。帶你了解Kubernetes架構的設計意圖、Kubernetes系統的架構開發演進過程，以及背后的驅動原因。 showImg(https://segmentfault.com/img/remote/1460000016446636?w=1280...

wuaiqiu 2019-07-01 16:49 評論0 收藏0
數人云|20種終極工具，為你的Docker搭建安全防火墻

摘要：為容器設計的商業安全套件，功能包括安全審計容器鏡像驗證運行時保護自動策略學習或入侵預防。基于一種稱為的新內核技術，允許根據容器身份定義并執行網絡層和層安全策略。自動發現應用程序容器和服務的行為，以及與其他類似方式檢測安全升級和其他威脅。數人云：隨著越來越多的企業將生產工作負載遷移到容器當中，關于Docker的安全性，成了普遍關注的問題。這是一個簡單卻又沒有答案的問題，不要試圖用二進...

jlanglang 2019-06-28 15:57 評論0 收藏0
Kubernetes集群中的高性能網絡策略

摘要：自從月份發布以來，用戶已經能夠在其集群中定義和實施網絡策略。吞吐量即以測量的數據傳輸速度和延遲完成請求的時間是網絡性能的常用度量。文章網絡延遲和比較的網絡方案已經檢查了運行覆蓋網絡對吞吐量和延遲的性能影響。自從7月份發布Kubernetes 1.3以來，用戶已經能夠在其集群中定義和實施網絡策略。這些策略是防火墻規則，用于指定允許流入和流出的數據類型。如果需要，Kubernetes可以...

U2FsdGVkX1x 2019-06-28 17:46 評論0 收藏0