Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vault on Kubernetes

gotoken
July 25, 2019
Technology
4
3.4k

Vault on Kubernetes

gotoken

July 25, 2019
Tweet

More Decks by gotoken

See All by gotoken
マルチテナントEKSクラスタにおける開発者への権限移譲
kennygt51
0
180
Vault + EKS + AWS SSOで実現する秘密情報管理
kennygt51
0
740
社内でのサウナ布教活動
kennygt51
3
90
Dockerコンテナ@AWS ECSのモニタリングに入門した話
kennygt51
0
130

Other Decks in Technology

See All in Technology
Amazon VPC Lattice を使い始める前におさえておきたいポイント n 選 / Introduction to VPC Lattice
hayaok3
1
870
TrivyでAWSセキュリティをシフトレフトしよう
bitkey
PRO
1
530
『AWSではじめるクラウドセキュリティ』の裏側を。
ryohatanmonolog
2
200
日浅流、 エンジニアリングマネージャーのしごと
takahia1988
0
110
データマイニングと機械学習-SVM
trycycle
0
130
【JAWS-UG朝会】ガバメントクラウド・デジタル庁の基本方針から考えるクラウドサービスの適切な利用
kumamatsu
PRO
3
490
株式会社オプティム_採用会社紹介資料 / optim-recruit
optim
0
9.5k
サービスレベル管理とは?〜計測すべき指標と活用について/What is Service Level Management
newrelic2023
0
300
社内でChatGPTを利用するためのガイドラインを整備した話
yoshikieguchi
0
900
Oracle Database Technology Night #67 Oracle Database High Availability concept
oracle4engineer
PRO
0
490
Amazon EventBridge Schedulerを用いて Amazon QuickSightの運用を改善した話
shogo452
1
210
SWEBOK V3からV4への改訂に見るソフトウェアエンジニアリングの発展とソフトウェア保守・進化
washizaki
0
310

Featured

See All Featured
The Cult of Friendly URLs
andyhume
70
5.2k
KATA
mclloyd
13
10k
Music & Morning Musume
bryan
37
4.8k
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k
The Language of Interfaces
destraynor
149
21k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
351
21k
Fireside Chat
paigeccino
18
2.1k
Teambox: Starting and Learning
jrom
124
8k
Learning to Love Humans: Emotional Interface Design
aarron
264
38k
Being A Developer After 40
akosma
49
580k
Building Effective Engineering Teams - LeadDev
addyosmani
5
580
The Power of CSS Pseudo Elements
geoffreycrofte
54
4.5k

Transcript

  1. Vault on Kubernetes
    gotoken
    @kennygt51

    View Slide

  2. 自己紹介
    gotoken Twitter:@kennygt51
    経歴:
     SIerで運用SE(5年)
      → Webの会社でインフラエンジニア(0.5年)
    業務内容:
     既存インフラのコンテナ化・クラウド化

    View Slide

  3. アジェンダ
    ・Vaultとは
    ・Vault Architecture
    ・Kubernetes上に構築する
    ・デプロイ時に秘匿情報を環境変数に展開する

    View Slide

  4. Vaultとは

    View Slide

  5. Vaultとは
    ・HashiCorp社の秘匿情報管理ソフトウェア
    ・Dynamic Secretsなど、様々な秘匿情報管理機能を持つ
    ・クライアント/サーバ型で動作する
    ・クライアントで秘匿情報の保存や取得コマンドを実行
    ・秘匿情報自体はサーバに保存
    ・ユースケースとしては、サービス(秘匿情報)が多数ある場合、namespaceを跨ぐ秘
    匿情報の共有が必要な場合、audit loggingなど

    View Slide

  6. Vault Architecture

    View Slide

  7. Client
    Vault storage backend
    Vault server
    Vault Architecture
    Seal / Unseal
    ・クライアント/サーバモデル
    ・Vault CLI / HTTP API でアクセス
    ・Storage Backendに暗号化したデータを保存
    詳細は以下
    https://www.vaultproject.io/docs/internals/architecture.html
    https://www.kennys.tech/read-vault-architecture/

    View Slide

  8. Kubernetes上に構築する

    View Slide

  9. ・Deployment
    ・Cluster IP Service
    ・AWS KMS(Auto-unsealing)
    ・DynamoDB(Storage Backend)

    View Slide

  10. デプロイ時に秘匿情報を環境変数に展開する

    View Slide

  11. envconsul
    ・consul / vaultから集めた環境変数と共に、サブプロセスを起動するツール

    View Slide

  12. # envconsul \
    > -config="./config.hcl" \
    > -secret="secret/myapp/config" \
    > env
    2019/07/20 05:11:57.423996 looking at vault
    secret/myapp/config
    ・・・
    secret_myapp_config_username=appuser
    # envconsul -secret secret/common_app -secret secret/a_app bundle exec rails s
    ユースケース
    ・特定のpath配下の秘匿情報を環境変数として展開し、アプリケーションを起動
    ・pathベースでの、アクセスコントロール(運用模索中。。)
    使い方

    View Slide

  13. ご清聴ありがとうございました
    @kennygt51

    View Slide