热门搜索:
hashicorp/vault-csi-provider
hashicorp
Vault CSI提供商允许Kubernetes用户检索并挂载Vault密钥到Kubernetes Pod。
4 次收藏下载次数: 0状态:社区镜像维护者:hashicorp仓库类型:镜像最近更新:2 个月前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Vault CSI Provider 技术文档
镜像概述和主要用途
Vault CSI Provider 是 HashiCorp Vault 与 Kubernetes https://github.com/kubernetes-sigs/secrets-store-csi-driver 的原生集成组件。其核心功能是为 Kubernetes 用户提供安全、便捷的方式,实现从 Vault 检索敏感 secrets 并将其挂载到 Pod 中的能力,避免 secrets 以明文形式存储在 Kubernetes Secrets 中,增强敏感信息的生命周期管理和访问控制。
核心功能和特性
- 卷挂载方式挂载 Secrets:通过 CSI 卷挂载将 Vault 中的 secrets 直接挂载到 Pod 文件系统,无需暴露于 Kubernetes API。
- Vault Secrets 同步至 Kubernetes Secrets:支持将 Vault 中的 secrets 同步为 Kubernetes Secrets,满足依赖原生 K8s Secrets 的应用场景。
- 基于 Kubernetes 服务账户认证:使用请求资源的 Pod 所属服务账户(Service Account)向 Vault 发起认证请求,实现最小权限访问控制。
- 多值提取支持:可从单个 Vault Secret 中提取一个或多个键值对,灵活满足应用对多密钥的需求。
- TLS/mTLS 加密通信:与 Vault 服务之间通过 TLS 或 mTLS 加密通信,确保 secrets 在传输过程中的安全性。
使用场景和适用范围
使用场景
- 敏感信息安全挂载:应用需访问数据库密码、API 密钥、证书等敏感信息时,通过 Vault 管理并经 CSI 驱动安全挂载至 Pod。
- ** secrets 自动轮换**:结合 Vault 的动态 secrets 功能,实现密钥自动轮换后,通过 CSI 驱动实时更新挂载内容,无需重启 Pod。
- 最小权限访问控制:基于 Pod 服务账户粒度控制 Vault 访问权限,避免过度授权。
- 规避明文存储风险:替代传统 Kubernetes Secrets 明文存储(etcd 中加密仍存在风险),实现 secrets "使用时才解密" 的安全模型。
适用范围
- 运行 Kubernetes 1.16+ 且已部署 CSI Secret Store Driver 的集群。
- 使用 HashiCorp Vault 作为 secrets 管理平台的环境。
- 对敏感信息生命周期管理(创建、分发、轮换、销毁)有严格安全要求的应用。
安装与部署
推荐安装方式
官方推荐通过 https://github.com/hashicorp/vault-helm 安装,该 Chart 已集成 Vault CSI Provider 组件。
安装步骤
-
添加 Helm 仓库
bashhelm repo add hashicorp https://helm.releases.hashicorp.com helm repo update -
安装 Vault Helm Chart
启用 CSI Provider 组件(默认已启用,可通过参数确认):bashhelm install vault hashicorp/vault \ --namespace vault \ --create-namespace \ --set "server.enabled=false" \ # 若已独立部署 Vault 服务,可禁用内置 Vault Server --set "injector.enabled=false" \ # 若无需 Sidecar 注入,可禁用 --set "csi.enabled=true" # 确保 CSI Provider 启用 -
验证安装
确认 CSI Provider DaemonSet 正常运行:bashkubectl get daemonset -n vault vault-csi-provider
部署示例(Kubernetes)
Vault CSI Provider 以 DaemonSet 形式运行在每个节点,以下为核心部署片段(由 Helm Chart 自动生成,供参考):
yaml# DaemonSet 示例(精简版) apiVersion: apps/v1 kind: DaemonSet metadata: name: vault-csi-provider namespace: vault spec: selector: matchLabels: app.kubernetes.io/name: vault-csi-provider template: metadata: labels: app.kubernetes.io/name: vault-csi-provider spec: containers: - name: vault-csi-provider image: hashicorp/vault-csi-provider:latest # 建议指定具体版本号 args: - --endpoint=unix:///csi/csi.sock - --log-level=info volumeMounts: - name: socket-dir mountPath: /csi volumes: - name: socket-dir hostPath: path: /var/lib/kubelet/plugins/csi-vault type: DirectoryOrCreate
配置说明
核心配置参数(Helm Chart 安装时可自定义)
| 参数 | 描述 | 默认值 |
|---|---|---|
csi.enabled | 是否启用 Vault CSI Provider 组件 | true |
csi.image.repository | 镜像仓库地址 | hashicorp/vault-csi-provider |
csi.image.tag | 镜像标签(版本号) | latest(建议指定具体版本,如 1.4.1) |
csi.logLevel | 日志级别(trace/debug/info/warn/error) | info |
csi.vaultAddress | Vault 服务地址(若未指定,需在 SecretProviderClass 中配置) | 未设置 |
csi.tls.enabled | 是否启用与 Vault 的 TLS 通信 | true |
csi.tls.caCert | 用于验证 Vault 服务端证书的 CA 证书(Base64 编码) | 未设置(默认使用系统 CA) |
使用方法
前提条件
- Kubernetes 集群已部署 CSI Secret Store Driver。
- Vault 服务已部署并配置 Kubernetes 认证(参考 Vault Kubernetes Auth)。
步骤 1:创建 SecretProviderClass
定义从 Vault 检索 secrets 的规则,示例:
yamlapiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: vault-db-creds # 自定义名称,供 Pod 引用 spec: provider: vault # 固定为 "vault" parameters: vaultAddress: "https://vault.example.com:8200" # Vault 服务地址 vaultKubernetesMountPath: "kubernetes" # Vault Kubernetes 认证挂载路径 roleName: "db-app" # Vault 中定义的角色(需绑定 Pod 服务账户) objects: | - objectName: "db-password" # 挂载到 Pod 中的文件名 objectType: "secret" # Vault 秘密类型(secret/kv/transit 等) objectPath: "database/creds/my-app" # Vault 秘密路径 objectField: "password" # 提取的字段名(若不指定则获取整个秘密)
步骤 2:在 Pod 中挂载 secrets
在 Pod 定义中引用 SecretProviderClass,通过 CSI 卷挂载 secrets:
yamlapiVersion: v1 kind: Pod metadata: name: app-with-vault-secret spec: serviceAccountName: db-app-sa # 需与 Vault 角色绑定的服务账户 containers: - name: app image: nginx:alpine volumeMounts: - name: vault-secrets # 卷名称,需与 volumes 中一致 mountPath: "/mnt/secrets" # 挂载路径 readOnly: true # 只读挂载,防止篡改 volumes: - name: vault-secrets csi: driver: secrets-store.csi.k8s.io # CSI Secret Store Driver 驱动名 readOnly: true volumeAttributes: secretProviderClass: "vault-db-creds" # 引用步骤 1 创建的 SecretProviderClass
验证挂载
进入 Pod 后,检查挂载路径下的 secrets 文件:
bashkubectl exec -it app-with-vault-secret -- cat /mnt/secrets/db-password
输出应为 Vault 中 database/creds/my-app 路径下的 password 字段值。
参考文档
- 官方 Vault CSI Provider 文档
- https://github.com/hashicorp/vault-helm/blob/main/values.yaml
- CSI Secret Store Driver 文档
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 vault-csi-provider 镜像标签
docker pull docker.xuanyuan.run/hashicorp/vault-csi-provider:<标签>
DockerHub 原生拉取命令
docker pull hashicorp/vault-csi-provider:<标签>
更多 vault-csi-provider 镜像推荐
bitnami/vault-csi-provider
Bitnami Secure Images(VMware Tanzu)
Bitnami提供的HashiCorp Vault CSI Provider安全镜像,用于将Vault与Kubernetes Secrets Store CSI驱动集成,实现Pod安全访问和管理密钥,具备安全加固、最小化攻击面和CVE透明度等特性。
1万+ 次下载
10 个月前更新
bitnamilegacy/vault-csi-provider
bitnamilegacy
Bitnami遗留镜像(已停止更新),包含所有现有容器镜像的备份,仅用于临时迁移目的,不提供进一步更新或支持。
778 次下载
9 个月前更新
library/vault
Docker 官方镜像
Vault是一款通过统一接口安全访问机密的工具,提供严格的访问控制和详细的审计日志。
1.2千 次收藏5亿+ 次下载
2 年前更新
apecloud/vault-csi-provider
apecloud
暂无描述
47 次下载
11 个月前更新
hashicorp/vault
hashicorp
HashiCorp Vault官方Docker镜像,用于在容器环境中安全存储、访问和管理机密信息,提供官方认证的部署方案。
212 次收藏1亿+ 次下载
21 天前更新
hashicorp/vault-k8s
hashicorp
提供Vault与Kubernetes之间的一流集成,支持两者高效安全协作的工具。
20 次收藏5000万+ 次下载
1 个月前更新
镜像拉取常见问题
功能
排错
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"