Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vaultに格納したシークレットをKubernetesから活用する方法

Kazuto Kusama
April 07, 2022
Technology
0
180

 Vaultに格納したシークレットをKubernetesから活用する方法

HashiCorpのWebinarで登壇した際の資料です。
Webinar動画はこちらから!
https://www.hashicorp.com/events/webinars/how-to-get-vault-secrets-into-kubernetes-jp

Kazuto Kusama

April 07, 2022
Tweet

More Decks by Kazuto Kusama

See All by Kazuto Kusama
自分のデータは自分で守る - あなたのCI/CDパイプラインをセキュアにする処方箋
jacopen
5
580
k8sを始める人に知ってもらいたい、Platform Engineeringの話
jacopen
3
680
Platform Engineeringへの招待
jacopen
19
7.6k
FastlyとTerraform Cloudで最高な自動化を実現しよう
jacopen
0
57
予測できない時代に学ぶ「クラウドネイティブ」にまつわる誤解と本質
jacopen
5
3.3k
家庭に溶け込むおうちクラスタを組もうとして挫折した話
jacopen
0
920
CloudNative DaysはカンファレンスのシステムをどうCI/CDしているのか
jacopen
0
270
HashiCorp VaultとTKG(TCE)でSecretを良い感じに管理する
jacopen
0
220
BoundaryのTarget-Aware Workers
jacopen
0
82

Other Decks in Technology

See All in Technology
User Story Mapping - Scrum Niigata
kawaguti
PRO
5
2.3k
Oracle Cloud Infrastructure:2023年5月度サービス・アップデート
oracle4engineer
PRO
0
190
高さ比べじゃない、キャリアは歩んできた道
dzeyelid
0
150
初学者が1ヶ月ほどAWS CDKを勉強してみた - AWS CDK Conference Japan 2023
sakaguchi
0
590
Snowflake リーダーアカウントを利用したデータ共有について
bergkamp
0
120
20230520_ChatGPT入門と意思決定への活用(20min版)_v1
doradora09
0
180
社内でChatGPTを利用するためのガイドラインを整備した話
yoshikieguchi
0
770
Amazon VPC Lattice を使い始める前におさえておきたいポイント n 選 / Introduction to VPC Lattice
hayaok3
1
780
Design insights from unit tests @ itkonekt 2023
victorrentea
0
110
ChatGPTがもたらす新しいチーム開発の現場
satoshirobatofujimoto
0
150
AWS WAFおよびWafCharmを複数サービスに導入した結果と課題
iwamot
0
170
3 Critical Reasons I Stopped Using Story Points
eiki
0
180

Featured

See All Featured
Infographics Made Easy
chrislema
236
17k
5 minutes of I Can Smell Your CMS
philhawksworth
198
18k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
197
11k
For a Future-Friendly Web
brad_frost
166
8k
BBQ
matthewcrist
75
8.2k
How STYLIGHT went responsive
nonsquared
89
4.3k
Designing with Data
zakiwarfel
91
4.3k
Reflections from 52 weeks, 52 projects
jeffersonlam
341
18k
Web Components: a chance to create the future
zenorocha
304
41k
Ruby is Unlike a Banana
tanoku
93
9.7k
Docker and Python
trallard
31
2.1k
The Language of Interfaces
destraynor
149
21k

Transcript

  1. Copyright © 2021 HashiCorp
    Vaultに格納したシークレットを
    Kubernetesから活用する方法

    View Slide

  2. Copyright © 2021 HashiCorp
    草間一人
    Sr. Solutions Engineer
    @jacopen
    Kazuto
    Kusama

    View Slide

  3. Kubernetesのシークレット管理
    どうやってますか?

    View Slide

  4. Kubernetesでアプリを作るとき
    Pod
    App
    Pod
    DB
    Cloud
    Services

    View Slide

  5. Kubernetesでアプリを作るとき
    Pod
    App
    Pod
    DB
    Cloud
    Services
    Access Key
    Secret Access Key
    Username
    Password
    Secret
    Access Key
    Secret Access Key
    Username
    Password

    View Slide

  6. KubernetesのSecret
    kind: Secret
    apiVersion: v1
    data:
    username: YWRtaW4=
    password: MWYyZDFlMmU2N2Rm
    metadata:
    annotations:
    kubectl.kubernetes.io/last-applied-configuration: { ... }
    creationTimestamp: 2016-01-22T18:41:56Z
    name: mysecret
    namespace: default
    resourceVersion: "164619"
    uid: cfee02d6-c137-11e5-8d73-42010af00002
    type: Opaque

    View Slide

  7. KubernetesのSecret
    kind: Secret
    apiVersion: v1
    data:
    username: YWRtaW4=
    password: MWYyZDFlMmU2N2Rm
    metadata:
    annotations:
    kubectl.kubernetes.io/last-applied-configuration: { ... }
    creationTimestamp: 2016-01-22T18:41:56Z
    name: mysecret
    namespace: default
    resourceVersion: "164619"
    uid: cfee02d6-c137-11e5-8d73-42010af00002
    type: Opaque
    “admin” “1f2d1e2e67df”
    取扱注意!! Base64エンコードされているだけ。

    View Slide

  8. せっかくGitOpsにしたのに
    Secret
    Secret
    Deployment
    Service
    PVC
    ここは自動化
    Secret入れるのは
    手動

    View Slide

  9. せっかくGitOpsにしたのに
    Secret
    Secret
    間違えてgitに
    コミットしちゃった!
    あの鍵って誰が
    管理してるの?

    View Slide

  10. Secret sprawl
    バラバラに保管
    アプリごと/チームごと
    バラバラの
    アクセスフロー
    アクセスのコント
    ロールができない

    View Slide

  11. Secretのジレンマ
    ▪ Secretが大事なことは誰もが分かってる
    ▪ だから既存の自動化フローには載せず、特別対応
    – 一部の人だけが手元で厳重に管理
    – 権限を絞ったプライベートリポジトリで管理
    – 権限を絞ったSpreadsheetで管理
    ▪ しかしこの特別対応こそが、Secret Sprawlを生みセキュリティを低
    下させる
    – 人間が把握できる範囲には限界がある
    – 人間はミスをする

    View Slide

  12. 解決策

    View Slide

  13. アイデンティティベースの
    シークレットと暗号化の管理システム
    Key Valueのような静的なシークレットだけでなく、
    データベースや各クラウドプロバイダーのキーを動的
    に生成したり、PKIとして使えたり、SSH鍵の署名が
    できたり、暗号化ができたり。
    どの環境でも使えますが、Kubernetesと組み合わせ
    ても、とても便利!

    View Slide

  14. やりたいこと
    Pod
    格納
    取得
    このフローを、安全に、手間がかからない形で実現したい

    View Slide

  15. DEMO

    View Slide

  16. やりたいこと
    Pod
    格納
    取得
    どうやってVaultから
    値を取得するか
    どうやってPodに
    値を渡すか

    View Slide

  17. Kubernetes Auth Method

    View Slide

  18. Kubernetes Auth Method
    Service
    Account
    auth/kubernetes/login
    + service account token
    TokenReview API
    status.authenticated: true
    auth.client_token
    /v1/secret/foo
    Return secret

    View Slide

  19. やりたいこと
    Pod
    格納
    取得
    どうやってVaultから
    値を取得するか
    どうやってPodに
    値を渡すか

    View Slide

  20. Kubernetes & Vault
    アプリから
    直接Vault
    Vault agent
    init container
    Vault agent
    sidecar
    Vault CSI
    Provider
    External
    Secret
    公式 コミュニティ

    View Slide

  21. Vault Agent Injector
    Vault Agent InjectorをKubernetes
    上にセットアップ。Helmでインストー
    ル可能
    Mutating webhookでPodにInit
    containerやSidecarを追加してくれ

    View Slide

  22. DEMO

    View Slide

  23. Vault CSI Provider
    Kubernetes Secrets Store CSI Driver
    Secretを、KubernetesのCSI (Container Storage Interface)を使っ
    て、ボリュームとしてPodにマウントする仕組み。
    Vault CSI Provider
    ↑をHashiCorp Vaultで使うためのProvider
    Helmでインストール可能

    View Slide

  24. DEMO

    View Slide

  25. Sidecar or CSI?
    https://www.hashicorp.com/blog/ku
    bernetes-vault-integration-via-sidec
    ar-agent-injector-vs-csi-provider

    View Slide

  26. Kubernetes External Secrets
    https://github.com/external-secrets/external-secrets
    External Secrets
    Controller
    Secrets
    foo=bar
    foo=bar
    kube-apiserver
    External
    Secrets

    View Slide

  27. Thank You
    [email protected]
    www.hashicorp.com

    View Slide