hashicorp/vault-plugin-auth-kubernetes

Vault Kubernetes认证插件Docker镜像文档

概述

Vault Kubernetes认证插件是HashiCorp Vault的官方后端插件，专门用于实现Kubernetes服务账户与Vault之间的身份认证。该Docker镜像提供了插件的容器化运行方式，便于在容器环境中部署和管理，仅支持在Linux操作系统上运行的Vault服务器。

核心功能与特性

• Kubernetes服务账户认证：支持Kubernetes集群中的服务账户通过该插件向Vault发起认证请求，建立安全的身份验证通道。
• 容器化部署支持：以Docker镜像形式分发，适配容器化环境，简化插件的部署、升级与管理流程。
• Linux平台兼容性：仅兼容运行在Linux操作系统上的Vault服务器，确保与目标环境的适配性。

使用场景与适用范围

• Kubernetes与Vault集成环境：适用于需要在Kubernetes集群中实现服务账户通过Vault进行认证授权的场景，如微服务间的安全通信、密钥管理等。
• 容器化插件管理：适合采用容器化部署架构的环境，通过Docker镜像统一管理插件生命周期。
• Linux服务器部署：仅限部署在Linux操作系统上的Vault服务器，不支持Windows或macOS平台的Vault实例。

使用方法与配置说明

环境要求

• Vault服务器：必须运行在Linux操作系统上，且版本需与插件版本兼容（具体兼容性信息参考官方文档）。
• Kubernetes集群：需与Vault实例网络互通，确保服务账户认证请求可正常传输。

镜像获取

插件Docker镜像可通过官方渠道获取，示例命令如下（实际镜像名称和标签以官方最新信息为准）：

bash
docker pull hashicorp/vault-plugin-auth-kubernetes:latest

官方仓库地址：https://github.com/hashicorp/vault-plugin-auth-kubernetes

部署与配置流程

插件需与Vault集成运行，典型部署步骤如下：

1. 注册插件至Vault
   将容器内的插件二进制文件挂载到Vault服务器的插件目录，并通过Vault CLI注册插件：

   bash
   vault plugin register -sha256=<插件SHA256哈希值> auth kubernetes
   

2. 启用认证后端
   在Vault中启用Kubernetes认证后端：

   bash
   vault auth enable --plugin-name=kubernetes plugin
   

3. 配置Kubernetes连接
   设置Vault与Kubernetes API服务器的连接参数（如API地址、CA证书等）：

   bash
   vault write auth/kubernetes/config \
     kubernetes_host="https://<k8s-api-server地址>:6443" \
     kubernetes_ca_cert=@/path/to/ca.crt
   

4. 创建角色与权限策略
   为Kubernetes服务账户配置Vault角色及对应的访问策略，示例：

   bash
   vault write auth/kubernetes/role/my-role \
     bound_service_account_names=my-service-account \
     bound_service_account_namespaces=default \
     policies=my-policy \
     ttl=1h
   

注意事项

• 版本兼容性：使用前需确认插件版本与Vault服务器版本的兼容性，避免因版本不匹配导致功能异常。
• 安全配置：确保Kubernetes API服务器地址、CA证书等敏感配置通过安全方式注入，避免信息泄露。
• 插件更新：升级插件时需重新注册并重启相关认证配置，建议在维护窗口期操作。