zurück zum Artikel

Containerisierung: HashiCorp vereinfacht die Vault-Integration in Kubernetes

Containerisierung: HashiCrop vereinfacht Vault-Integration in Kubernetes

Mit einem Helm Chart lässt sich der Passwortmanager von HashiCorp in drei verschiedenen Modi im Kubernetes einrichten.

HashiCorp hat ein Helm Chart für Vault für veröffentlicht, das die Installation des Passwortmanagers in Kubernetes automatisiert. Das Chart ist für drei unterschiedliche Betriebsmodi ausgelegt und funktioniert derzeit lediglich mit der Open-Source-Variante von Vault. Durch die Integration lässt sich Vault für andere Werkzeuge, die zum Einsatz auf Kubernetes ausgelegt sind, als Passwortmanager verwenden.

Um das Helm Chart zu benutzen, müssen Administratoren den Paketmanager Helm im Kubernetes-Cluster installieren. Er verwaltet Kubernetes-Applikationen und setzt dafür auf die sogenannten Helm Charts, die Beschreibungen der Kubernetes-Objekte enthalten. Helm ist ein Projekt unter dem Dach [1] der Cloud Native Computing Foundation (CNCF) und befindet sich derzeit in der Inkubationsphase.

Das Helm Chart für Vault bringt drei unterschiedliche Arbeitsmodi: einzelner Server (Single Server), Hochverfügbarkeit (HA), und Entwicklermodus (Dev mode). Derzeit lässt sich das Chart ausschließlich mit der Open-Source-Variante von Vault verwenden, aber HashiCorp arbeitet an einer Variante für Vault Enterprise.

Als mögliche Szenario für Vault in Kubernetes nennt HashiCorp unter anderem den Einsatz als geteilter Service, bei dem der Vault-Cluster direkt auf Kubernetes läuft und sowohl für Anwendungen innerhalb als auch außerhalb des Kubernetes-Clusters verfübar ist. Außerdem lässt sich der Passwortmanager zum Speichern und Zugriff von Secrets verwenden. Vault bietet dafür unterschiedliche Secrets Engines [2] und Methoden zur Authentifizierung [3].

Demonstration zum Einrichten von Vault über das Helm Chart.

Einen weiterer Einsatzbereich bezeichnet HashiCorp als Encryption as a Service, also das Auslagern der Verschlüsselung an Vault über dessen Transit Secrets Engine [4]. Schließlich lässt sich die Software zum Speichern von Audit-Logs über sogenannte Audit Devices [5] verwenden.

Weitere Details lassen sich dem HashiCrop-Blog entnehmen. Das Helm Chart ist auf GitHub [6] verfügbar und mittelfristig ist die Einrichtung eines eigenen Helm-Repositorys geplant. HashiCorp hat zudem eine Anleitung zum Einrichten von Vault [7] mit dem Helm Chart veröffentlicht.

Siehe dazu auf heise Developer:

(rme [10])


URL dieses Artikels:
http://www.heise.de/-4490728

Links in diesem Artikel:
[1] https://www.cncf.io/projects/
[2] https://www.vaultproject.io/docs/secrets/index.html
[3] https://www.vaultproject.io/docs/auth/index.html
[4] https://www.vaultproject.io/docs/secrets/transit/index.html
[5] https://www.vaultproject.io/docs/audit/index.html
[6] https://github.com/hashicorp/vault-helm
[7] https://www.vaultproject.io/docs/platform/k8s/helm.html
[8] https://www.heise.de/developer/artikel/Vault-fuer-Entwickler-Geheimnisse-in-Webanwendungen-schuetzen-4296863.html
[9] https://www.heise.de/developer/artikel/Die-Werkzeugkiste-1-Helm-Kubernetes-Deployments-richtig-gemacht-4219375.html
[10] mailto:rme@ct.de