vault-使用kubernetes作為認證后端

chuyao 發(fā)布于2019-06-21 16:43 / 729人閱讀

摘要：使用認證配置可以使用的進行認證在為創(chuàng)建賬號，用于調(diào)用找到的以及把圖中的以及用解碼得到證書使用配置認證是上圖中用解碼的值是的地址是上圖中用解碼的值存儲的文件路徑，允許調(diào)用的使用的認證創(chuàng)建認證對應(yīng)里面創(chuàng)建的，對應(yīng)里面的

vault使用kubernetes認證 配置

vault可以使用kubernetes的serviceaccount進行認證

#在kubernetes為vault創(chuàng)建serviceaccount賬號，用于調(diào)用api
kubectl create sa vault-auth
#找到vault-auth的token以及ca
kubectl get secret |grep vault-auth-token |awk "{print $1}"|xargs kubectl get -o yaml secret

把圖中的ca.crt以及token用base64解碼得到證書

# 使用vault-cli配置kubernetes認證
vault auth enable kubernetes

#token_reviewer_jwt是上圖中token用base64解碼的值
# kubernetes_host是kubernetes-api-server的地址
# kubernetes_ca_cert是上圖中ca.crt用base64解碼的值存儲的文件路徑，
vault write auth/kubernetes/config 
    token_reviewer_jwt="reviewer_service_account_jwt" 
    kubernetes_host=https://192.168.99.100:8443 
    [email protected]

# 允許vault調(diào)用kubernetes的sa-api
# cat rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: role-tokenreview-binding
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:auth-delegator
subjects:
- kind: ServiceAccount
  name: vault-auth
  namespace: default
#kubectl apply -f rbac.yaml

使用kubernetes的serviceaccount認證 vault創(chuàng)建role

vault write auth/kubernetes/role/demo 
    bound_service_account_names=vault-auth 
    bound_service_account_namespaces=default 
    policies=default 
    ttl=1h

認證

#role對應(yīng)vault里面創(chuàng)建的role，jwt對應(yīng)kubernetes里面serviceaccount的token
curl https://vault:8200/auth/kubernetes/login -XPOST -d "{"role": "demo", "jwt": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."}"

云服務(wù)器 GPU云服務(wù)器 kubernetes使用物聯(lián)網(wǎng)使用云平臺作為服務(wù)器 vault 免費使用ca認證

文章版權(quán)歸作者所有，未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為，您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址：http://systransis.cn/yun/11349.html

相關(guān)文章

vault-服務(wù)器密碼/證書管理工具

摘要：在把數(shù)據(jù)寫入存儲后端之前會先將數(shù)據(jù)加密，所以即使你直接讀取存儲后端數(shù)據(jù)也無法拿到真正的數(shù)據(jù)。數(shù)據(jù)加密可以在不對數(shù)據(jù)存儲的情況下，對數(shù)據(jù)進行加密和解密。作為證書服務(wù)器能夠作為服務(wù)器，根據(jù)請求信息自動頒發(fā)證書。 vault介紹 vault是什么 vault是一個密碼/證書集中式管理工具，通過HTTP-API對外提供統(tǒng)一的密碼訪問入口，并且提供權(quán)限控制以及詳細的日志審計功能。一個系統(tǒng)可能需...

zhaofeihao 2019-06-21 16:39 評論0 收藏0
vault-圖形界面

摘要：官方?jīng)]有提供圖形界面功能，比較了幾個開源的圖形界面之后，覺得的功能相對完善。 vault官方?jīng)]有提供圖形界面功能，比較了幾個開源的圖形界面之后，覺得goldfish的功能相對完善。 goldfish部署 sudo mkdir /opt/goldfish && sudo chown `whoami:whoami` git clone https://github.com/Caiyeon...

kuangcaibao 2019-06-21 16:41 評論0 收藏0
Kubernetes系統(tǒng)架構(gòu)演進過程與背后驅(qū)動的原因

摘要：本文中，我們將描述系統(tǒng)的架構(gòu)開發(fā)演進過程，以及背后的驅(qū)動原因。應(yīng)用管理層提供基本的部署和路由，包括自愈能力彈性擴容服務(wù)發(fā)現(xiàn)負載均衡和流量路由。帶你了解Kubernetes架構(gòu)的設(shè)計意圖、Kubernetes系統(tǒng)的架構(gòu)開發(fā)演進過程，以及背后的驅(qū)動原因。 showImg(https://segmentfault.com/img/remote/1460000016446636?w=1280...

wuaiqiu 2019-07-01 16:49 評論0 收藏0
數(shù)人云|20種終極工具，為你的Docker搭建安全防火墻

摘要：為容器設(shè)計的商業(yè)安全套件，功能包括安全審計容器鏡像驗證運行時保護自動策略學(xué)習(xí)或入侵預(yù)防?；谝环N稱為的新內(nèi)核技術(shù)，允許根據(jù)容器身份定義并執(zhí)行網(wǎng)絡(luò)層和層安全策略。自動發(fā)現(xiàn)應(yīng)用程序容器和服務(wù)的行為，以及與其他類似方式檢測安全升級和其他威脅。數(shù)人云：隨著越來越多的企業(yè)將生產(chǎn)工作負載遷移到容器當中，關(guān)于Docker的安全性，成了普遍關(guān)注的問題。這是一個簡單卻又沒有答案的問題，不要試圖用二進...

jlanglang 2019-06-28 15:57 評論0 收藏0
Kubernetes集群中的高性能網(wǎng)絡(luò)策略

摘要：自從月份發(fā)布以來，用戶已經(jīng)能夠在其集群中定義和實施網(wǎng)絡(luò)策略。吞吐量即以測量的數(shù)據(jù)傳輸速度和延遲完成請求的時間是網(wǎng)絡(luò)性能的常用度量。文章網(wǎng)絡(luò)延遲和比較的網(wǎng)絡(luò)方案已經(jīng)檢查了運行覆蓋網(wǎng)絡(luò)對吞吐量和延遲的性能影響。自從7月份發(fā)布Kubernetes 1.3以來，用戶已經(jīng)能夠在其集群中定義和實施網(wǎng)絡(luò)策略。這些策略是防火墻規(guī)則，用于指定允許流入和流出的數(shù)據(jù)類型。如果需要，Kubernetes可以...

U2FsdGVkX1x 2019-06-28 17:46 評論0 收藏0