我正在考虑在不久的将来在Google Kubernetes Engine上部署一个集群。我也一直在研究使用 Vault by Hashicorp 来管理我的集群可以访问的机密。具体来说,我想利用动态机密来提高安全性。
但是,所有涵盖此类设置的文档和 Youtube 视频总是提到,一组严格专用于 Vault 的节点应作为其自己的独立集群运行 - 因此需要更多的虚拟机。
我很好奇这里是否可以采用无服务器方法。也就是说,使用Google Cloud Run动态创建Vault容器。
这个视频(应该在正确的时间开始(提到 Vault 可以作为部署运行,所以我没有看到状态有问题。由于Google提到每个Cloud Run服务都有自己的稳定HTTPS端点,我相信我可以简单地将此端点传递给我的配置,即使创建了新实例,所有Pod也将能够找到该服务。但是,我是使用 Kubernetes 的新手,所以我不确定我在这里是否完全正确。
任何有更多使用 Kubernetes 和/或 Vault 经验的人都可以指出这种方法的任何潜在缺点吗?谢谢。
自 3 周以来处于测试阶段,并且没有正式宣布(应该在几天内(,您可以查看秘密管理器。我认为,它是一个无服务器机密管理器,具有您需要的所有基本要求。
它尚未宣布的主要原因是因为多种语言的客户端库尚未发布/完成
视频链接上的真棒人物Seth Vargo参与了这个项目。
他还释放了贝格拉斯。它是用Python编写的,使用KMS加密密钥,使用Google Cloud Storage存储来存储它们。我也推荐它。
我构建了一个 python 库,以便在 Python 中轻松使用 Berglas secret。
希望这个秘密管理工具能满足您的期望。无论如何,它是无服务器的,而且非常便宜!