Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vaultに格納したシークレットをKubernetesから活用する方法

Kazuto Kusama
April 07, 2022
Technology
0
330

 Vaultに格納したシークレットをKubernetesから活用する方法

HashiCorpのWebinarで登壇した際の資料です。
Webinar動画はこちらから!
https://www.hashicorp.com/events/webinars/how-to-get-vault-secrets-into-kubernetes-jp

Kazuto Kusama

April 07, 2022
Tweet

More Decks by Kazuto Kusama

See All by Kazuto Kusama
2024/10 PagerDuty機能アップデート
jacopen
1
32
ゲームから学ぶ、いちばん速いインシデント対応
jacopen
1
57
PEK2024 Recap
jacopen
2
130
クラウドネイティブの本質から考える、生産性と信頼性の両立
jacopen
3
840
「責任ある開発」を!フルサービスオーナーシップが変えるエンジニアリング文化
jacopen
11
2k
手を動かさないインシデント対応〜自動化で迅速・正確な運用を目指す〜
jacopen
3
430
エンジニアとしてのキャリアを支える自宅サーバー
jacopen
12
7.3k
Grafana x PagerDuty Better Together
jacopen
1
710
「共通基盤」を超えよ! 今、Platform Engineeringに取り組むべき理由
jacopen
27
10k

Other Decks in Technology

See All in Technology
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
Amazon Personalizeの レコメンドシステム構築、実際何するの? 〜大体10分で具体的なイメージをつかむ〜
kniino
1
100
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
120
いざ、BSC討伐の旅
nikinusu
2
780
Evangelismo técnico: ¿qué, cómo y por qué?
trishagee
0
360
Engineer Career Talk
lycorp_recruit_jp
0
180
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.2k
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
130
【Pycon mini 東海 2024】Google Colaboratoryで試すVLM
kazuhitotakahashi
2
530
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
160
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
1
380

Featured

See All Featured
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.2k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Being A Developer After 40
akosma
87
590k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Happy Clients
brianwarren
98
6.7k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
RailsConf 2023
tenderlove
29
900
Done Done
chrislema
181
16k

Transcript

  1. Copyright © 2021 HashiCorp Vaultに格納したシークレットを Kubernetesから活用する方法

  2. Copyright © 2021 HashiCorp 草間一人 Sr. Solutions Engineer @jacopen Kazuto

    Kusama

  3. Kubernetesのシークレット管理 どうやってますか?

  4. Kubernetesでアプリを作るとき Pod App Pod DB Cloud Services

  5. Kubernetesでアプリを作るとき Pod App Pod DB Cloud Services Access Key Secret

    Access Key Username Password Secret Access Key Secret Access Key Username Password

  6. KubernetesのSecret kind: Secret apiVersion: v1 data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm

    metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: { ... } creationTimestamp: 2016-01-22T18:41:56Z name: mysecret namespace: default resourceVersion: "164619" uid: cfee02d6-c137-11e5-8d73-42010af00002 type: Opaque

  7. KubernetesのSecret kind: Secret apiVersion: v1 data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm

    metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: { ... } creationTimestamp: 2016-01-22T18:41:56Z name: mysecret namespace: default resourceVersion: "164619" uid: cfee02d6-c137-11e5-8d73-42010af00002 type: Opaque “admin” “1f2d1e2e67df” 取扱注意!! Base64エンコードされているだけ。

  8. せっかくGitOpsにしたのに Secret Secret Deployment Service PVC ここは自動化 Secret入れるのは 手動

  9. せっかくGitOpsにしたのに Secret Secret 間違えてgitに コミットしちゃった! あの鍵って誰が 管理してるの?

  10. Secret sprawl バラバラに保管 アプリごと/チームごと バラバラの アクセスフロー アクセスのコント ロールができない

  11. Secretのジレンマ ▪ Secretが大事なことは誰もが分かってる ▪ だから既存の自動化フローには載せず、特別対応 – 一部の人だけが手元で厳重に管理 – 権限を絞ったプライベートリポジトリで管理 –

    権限を絞ったSpreadsheetで管理 ▪ しかしこの特別対応こそが、Secret Sprawlを生みセキュリティを低 下させる – 人間が把握できる範囲には限界がある – 人間はミスをする

  12. 解決策

  13. アイデンティティベースの シークレットと暗号化の管理システム Key Valueのような静的なシークレットだけでなく、 データベースや各クラウドプロバイダーのキーを動的 に生成したり、PKIとして使えたり、SSH鍵の署名が できたり、暗号化ができたり。 どの環境でも使えますが、Kubernetesと組み合わせ ても、とても便利!

  14. やりたいこと Pod 格納 取得 このフローを、安全に、手間がかからない形で実現したい

  15. DEMO

  16. やりたいこと Pod 格納 取得 どうやってVaultから 値を取得するか どうやってPodに 値を渡すか

  17. Kubernetes Auth Method

  18. Kubernetes Auth Method Service Account auth/kubernetes/login + service account token

    TokenReview API status.authenticated: true auth.client_token /v1/secret/foo Return secret

  19. やりたいこと Pod 格納 取得 どうやってVaultから 値を取得するか どうやってPodに 値を渡すか

  20. Kubernetes & Vault アプリから 直接Vault Vault agent init container Vault

    agent sidecar Vault CSI Provider External Secret 公式 コミュニティ

  21. Vault Agent Injector Vault Agent InjectorをKubernetes 上にセットアップ。Helmでインストー ル可能 Mutating webhookでPodにInit

    containerやSidecarを追加してくれ る

  22. DEMO

  23. Vault CSI Provider Kubernetes Secrets Store CSI Driver Secretを、KubernetesのCSI (Container

    Storage Interface)を使っ て、ボリュームとしてPodにマウントする仕組み。 Vault CSI Provider ↑をHashiCorp Vaultで使うためのProvider Helmでインストール可能

  24. DEMO

  25. Sidecar or CSI? https://www.hashicorp.com/blog/ku bernetes-vault-integration-via-sidec ar-agent-injector-vs-csi-provider

  26. Kubernetes External Secrets https://github.com/external-secrets/external-secrets External Secrets Controller Secrets foo=bar foo=bar

    kube-apiserver External Secrets

  27. Thank You [email protected] www.hashicorp.com