vault k8s secret engine 源码

Vault K8s动态服务帐户 该项目包含插件的源代码,该插件为短暂的服务帐户提供按需(动态)凭据。 如果凭据泄漏或滥用,这可以使爆炸半径保持相对较小。 注意:此插件仍在积极开发中 内容 建筑概貌 这个插件是围绕秘密引擎的实例化和Kubernetes集群之间的1:1映射设计的。 这种方法使我们能够简化插件的使用和配置,同时仍然针对为Kubernetes提供动态和短期证书的主要用例。 重点是管理员和最终用户的易用性,并且限制配置的复杂性是一个容易的选择。 生成动态证书时,插件遵循以下流程。 当客户端请求凭证时,保管库将在后端的Kubernetes集群中创建一个新的服务帐户,并为它配置特定的角色,以便它具有所需的访问权限。 用户将以javasript Web令牌和证书的形式获得从保管库返回的凭据,该证书可用于直接向Kubernetes集群进行身份验证。 Vault具有一个内部计时器