Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vaultに格納したシークレットをKubernetesから活用する方法

Kazuto Kusama
April 07, 2022
Technology
0
380

 Vaultに格納したシークレットをKubernetesから活用する方法

HashiCorpのWebinarで登壇した際の資料です。
Webinar動画はこちらから!
https://www.hashicorp.com/events/webinars/how-to-get-vault-secrets-into-kubernetes-jp

Kazuto Kusama

April 07, 2022
Tweet

More Decks by Kazuto Kusama

See All by Kazuto Kusama
今日からはじめるプラットフォームエンジニアリング
jacopen
3
200
Platform Engineeringで クラウドの「楽しくない」を解消しよう
jacopen
8
590
トラシューアニマルになろう ~開発者だからこそできる、安定したサービス作りの秘訣~
jacopen
4
4k
あなたの興味は信頼性?それとも生産性? SREとしてのキャリアに悩むみなさまに伝えたい選択肢
jacopen
7
7.7k
PaaSの歴史と、 アプリケーションプラットフォームのこれから
jacopen
7
2.3k
AI x インシデント管理で拡げるサービスオーナーシップ
jacopen
0
200
間違いだらけのポストモーテム - ホントに役立つレビューはこうだ!
jacopen
7
1.7k
2024/10 PagerDuty機能アップデート
jacopen
1
67
ゲームから学ぶ、いちばん速いインシデント対応
jacopen
1
130

Other Decks in Technology

See All in Technology
白金鉱業Meetup_Vol.18_AIエージェント時代のUI/UX設計
brainpadpr
0
120
Making a MIDI controller device with PicoRuby/R2P2 (RubyKaigi 2025 LT)
risgk
1
250
AWSのマルチアカウント管理 ベストプラクティス最新版 2025 / Multi-Account management on AWS best practice 2025
ohmura
4
310
より良い開発者体験を実現するために~開発初心者が感じた生成AIの可能性~
masakiokuda
0
200
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
0
110
AWSの新機能検証をやる時こそ、Amazon Qでプロンプトエンジニアリングを駆使しよう
duelist2020jp
1
250
SnowflakeとDatabricks両方でRAGを構築してみた
kameitomohiro
1
420
watsonx.data上のベクトル・データベース Milvusを見てみよう/20250418-milvus-dojo
mayumihirano
0
120
AWS全冠芸人が見た世界 ~資格取得より大切なこと~
masakiokuda
5
6.2k
Road to Go Gem #rubykaigi
sue445
0
720
QA/SDETの現在と、これからの挑戦
imtnd
0
130
クラウド開発環境Cloud Workstationsの紹介
yunosukey
0
180

Featured

See All Featured
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
Embracing the Ebb and Flow
colly
85
4.6k
Git: the NoSQL Database
bkeepers
PRO
430
65k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
34
2.2k
4 Signs Your Business is Dying
shpigford
183
22k
How GitHub (no longer) Works
holman
314
140k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Code Review Best Practice
trishagee
67
18k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
30
2.3k
Gamification - CAS2011
davidbonilla
81
5.2k
Six Lessons from altMBA
skipperchong
27
3.7k
GraphQLとの向き合い方2022年版
quramy
46
14k

Transcript

  1. Copyright © 2021 HashiCorp Vaultに格納したシークレットを Kubernetesから活用する方法

  2. Copyright © 2021 HashiCorp 草間一人 Sr. Solutions Engineer @jacopen Kazuto

    Kusama

  3. Kubernetesのシークレット管理 どうやってますか?

  4. Kubernetesでアプリを作るとき Pod App Pod DB Cloud Services

  5. Kubernetesでアプリを作るとき Pod App Pod DB Cloud Services Access Key Secret

    Access Key Username Password Secret Access Key Secret Access Key Username Password

  6. KubernetesのSecret kind: Secret apiVersion: v1 data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm

    metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: { ... } creationTimestamp: 2016-01-22T18:41:56Z name: mysecret namespace: default resourceVersion: "164619" uid: cfee02d6-c137-11e5-8d73-42010af00002 type: Opaque

  7. KubernetesのSecret kind: Secret apiVersion: v1 data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm

    metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: { ... } creationTimestamp: 2016-01-22T18:41:56Z name: mysecret namespace: default resourceVersion: "164619" uid: cfee02d6-c137-11e5-8d73-42010af00002 type: Opaque “admin” “1f2d1e2e67df” 取扱注意!! Base64エンコードされているだけ。

  8. せっかくGitOpsにしたのに Secret Secret Deployment Service PVC ここは自動化 Secret入れるのは 手動

  9. せっかくGitOpsにしたのに Secret Secret 間違えてgitに コミットしちゃった! あの鍵って誰が 管理してるの?

  10. Secret sprawl バラバラに保管 アプリごと/チームごと バラバラの アクセスフロー アクセスのコント ロールができない

  11. Secretのジレンマ ▪ Secretが大事なことは誰もが分かってる ▪ だから既存の自動化フローには載せず、特別対応 – 一部の人だけが手元で厳重に管理 – 権限を絞ったプライベートリポジトリで管理 –

    権限を絞ったSpreadsheetで管理 ▪ しかしこの特別対応こそが、Secret Sprawlを生みセキュリティを低 下させる – 人間が把握できる範囲には限界がある – 人間はミスをする

  12. 解決策

  13. アイデンティティベースの シークレットと暗号化の管理システム Key Valueのような静的なシークレットだけでなく、 データベースや各クラウドプロバイダーのキーを動的 に生成したり、PKIとして使えたり、SSH鍵の署名が できたり、暗号化ができたり。 どの環境でも使えますが、Kubernetesと組み合わせ ても、とても便利!

  14. やりたいこと Pod 格納 取得 このフローを、安全に、手間がかからない形で実現したい

  15. DEMO

  16. やりたいこと Pod 格納 取得 どうやってVaultから 値を取得するか どうやってPodに 値を渡すか

  17. Kubernetes Auth Method

  18. Kubernetes Auth Method Service Account auth/kubernetes/login + service account token

    TokenReview API status.authenticated: true auth.client_token /v1/secret/foo Return secret

  19. やりたいこと Pod 格納 取得 どうやってVaultから 値を取得するか どうやってPodに 値を渡すか

  20. Kubernetes & Vault アプリから 直接Vault Vault agent init container Vault

    agent sidecar Vault CSI Provider External Secret 公式 コミュニティ

  21. Vault Agent Injector Vault Agent InjectorをKubernetes 上にセットアップ。Helmでインストー ル可能 Mutating webhookでPodにInit

    containerやSidecarを追加してくれ る

  22. DEMO

  23. Vault CSI Provider Kubernetes Secrets Store CSI Driver Secretを、KubernetesのCSI (Container

    Storage Interface)を使っ て、ボリュームとしてPodにマウントする仕組み。 Vault CSI Provider ↑をHashiCorp Vaultで使うためのProvider Helmでインストール可能

  24. DEMO

  25. Sidecar or CSI? https://www.hashicorp.com/blog/ku bernetes-vault-integration-via-sidec ar-agent-injector-vs-csi-provider

  26. Kubernetes External Secrets https://github.com/external-secrets/external-secrets External Secrets Controller Secrets foo=bar foo=bar

    kube-apiserver External Secrets

  27. Thank You [email protected] www.hashicorp.com