Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vault on Kubernetes

Kenta Goto
July 25, 2019
Technology
4
3.8k

Vault on Kubernetes

Kenta Goto

July 25, 2019
Tweet

More Decks by Kenta Goto

See All by Kenta Goto
Cluster API と VPC Lattice は Amazon EKS マルチクラスターの夢を見るか?
kennygt51
0
390
マルチテナントEKSクラスタにおける開発者への権限移譲
kennygt51
0
310
Vault + EKS + AWS SSOで実現する秘密情報管理
kennygt51
0
970
社内でのサウナ布教活動
kennygt51
3
140
Dockerコンテナ@AWS ECSのモニタリングに入門した話
kennygt51
0
260

Other Decks in Technology

See All in Technology
隣接領域をBeyondするFinatextのエンジニア組織設計 / beyond-engineering-areas
stajima
1
270
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
120
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
280
いざ、BSC討伐の旅
nikinusu
2
780
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
透過型SMTPプロキシによる送信メールの可観測性向上: Update Edition / Improved observability of outgoing emails with transparent smtp proxy: Update edition
linyows
2
210
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
0
980
【Startup CTO of the Year 2024 / Audience Award】アセンド取締役CTO 丹羽健
niwatakeru
0
870
スクラムチームを立ち上げる〜チーム開発で得られたもの・得られなかったもの〜
ohnoeight
2
350
Can We Measure Developer Productivity?
ewolff
1
150
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
210

Featured

See All Featured
Into the Great Unknown - MozCon
thekraken
32
1.5k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
We Have a Design System, Now What?
morganepeng
50
7.2k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
How to Think Like a Performance Engineer
csswizardry
20
1.1k
The Invisible Side of Design
smashingmag
298
50k
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
Producing Creativity
orderedlist
PRO
341
39k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
RailsConf 2023
tenderlove
29
900

Transcript

  1. Vault on Kubernetes gotoken @kennygt51

  2. 自己紹介 gotoken Twitter:@kennygt51 経歴:  SIerで運用SE(5年)   → Webの会社でインフラエンジニア(0.5年) 業務内容:  既存インフラのコンテナ化・クラウド化

  3. アジェンダ ・Vaultとは ・Vault Architecture ・Kubernetes上に構築する ・デプロイ時に秘匿情報を環境変数に展開する

  4. Vaultとは

  5. Vaultとは ・HashiCorp社の秘匿情報管理ソフトウェア ・Dynamic Secretsなど、様々な秘匿情報管理機能を持つ ・クライアント/サーバ型で動作する ・クライアントで秘匿情報の保存や取得コマンドを実行 ・秘匿情報自体はサーバに保存 ・ユースケースとしては、サービス(秘匿情報)が多数ある場合、namespaceを跨ぐ秘 匿情報の共有が必要な場合、audit loggingなど

  6. Vault Architecture

  7. Client Vault storage backend Vault server Vault Architecture Seal /

    Unseal ・クライアント/サーバモデル ・Vault CLI / HTTP API でアクセス ・Storage Backendに暗号化したデータを保存 詳細は以下 https://www.vaultproject.io/docs/internals/architecture.html https://www.kennys.tech/read-vault-architecture/

  8. Kubernetes上に構築する

  9. ・Deployment ・Cluster IP Service ・AWS KMS(Auto-unsealing) ・DynamoDB(Storage Backend)

  10. デプロイ時に秘匿情報を環境変数に展開する

  11. envconsul ・consul / vaultから集めた環境変数と共に、サブプロセスを起動するツール

  12. # envconsul \ > -config="./config.hcl" \ > -secret="secret/myapp/config" \ >

    env 2019/07/20 05:11:57.423996 looking at vault secret/myapp/config ・・・ secret_myapp_config_username=appuser # envconsul -secret secret/common_app -secret secret/a_app bundle exec rails s ユースケース ・特定のpath配下の秘匿情報を環境変数として展開し、アプリケーションを起動 ・pathベースでの、アクセスコントロール(運用模索中。。) 使い方

  13. ご清聴ありがとうございました @kennygt51