热门搜索:
hashicorp/vault-secrets-operator
hashicorp
Vault密钥操作器的自动构建镜像,基于当前版本进行构建。
2 次收藏下载次数: 0状态:社区镜像维护者:hashicorp仓库类型:镜像最近更新:1 个月前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Vault Secrets Operator 官方镜像
镜像概述与主要用途
Vault Secrets Operator(VSO)官方镜像是基于当前发布版本自动构建的容器镜像,用于在Kubernetes环境中实现Vault密钥与Kubernetes Secrets的原生同步。其核心用途是允许Kubernetes Pod通过Kubernetes Secrets间接消费Vault密钥,无需直接访问Vault服务,从而简化密钥管理流程并增强安全性。该镜像支持从Vault社区版、企业版及HCP Vault Secrets同步密钥。
核心功能与特性
1. 基于CRD的同步机制
通过监听Kubernetes集群中支持的自定义资源定义(CRD),触发Vault密钥到Kubernetes Secrets的同步操作,CRD中包含同步所需的配置规范。
2. 多源密钥支持
兼容多种Vault服务类型,包括Vault社区版、企业版以及HCP Vault Secrets,满足不同部署环境的需求。
3. 实时变更同步
将Vault中的源密钥数据直接写入Kubernetes目标Secret,并持续监控源密钥变更,确保目标Secret与源密钥实时保持一致。
4. 原生Kubernetes集成
应用Pod只需访问Kubernetes Secrets即可获取密钥数据,无需集成Vault SDK或直接调用Vault API,降低应用复杂度。
使用场景与适用范围
适用场景
- Kubernetes密钥集中管理:需将Vault作为密钥存储中心,同时通过Kubernetes Secrets向应用提供密钥的场景。
- 动态密钥同步:Vault密钥频繁更新(如数据库凭证自动轮换),需实时同步至Kubernetes Secrets的场景。
- 安全访问控制:希望限制应用直接访问Vault,通过Kubernetes RBAC控制密钥访问权限的场景。
适用范围
- 运行环境:Kubernetes集群(需支持CRD,建议版本1.21+)。
- 依赖服务:已部署Vault服务(社区版/企业版)或使用HCP Vault Secrets,且网络可互通。
- 目标用户:Kubernetes集群管理员、DevOps工程师、需要在K8s环境中安全管理密钥的开发团队。
使用方法与配置说明
部署前提
- Kubernetes集群(版本≥1.21),已启用CRD支持。
- Vault服务(社区版/企业版或HCP Vault Secrets)已部署并可访问,且已配置必要的访问策略(如创建角色、策略授权)。
- 集群内已安装kubectl工具,且用户具备集群管理员权限(用于部署CRD及Operator)。
Kubernetes部署示例(推荐)
VSO作为Kubernetes Operator,需部署至Kubernetes集群中,以下为基础部署流程:
1. 安装CRD
首先部署VSO所需的CRD:
bashkubectl apply -f https://raw.githubusercontent.com/hashicorp/vault-secrets-operator/main/config/crd/bases/secret.hashicorp.com_vaultstaticsecrets.yaml kubectl apply -f https://raw.githubusercontent.com/hashicorp/vault-secrets-operator/main/config/crd/bases/secret.hashicorp.com_vaultdynamicsecrets.yaml # 其他CRD(如VaultAuth、VaultConnection等)根据实际需求部署,参考官方文档
2. 部署Operator
通过容器镜像部署VSO控制器(需替换<IMAGE_TAG>为实际版本,如1.0.0):
yaml# vault-secrets-operator-deploy.yaml apiVersion: apps/v1 kind: Deployment metadata: name: vault-secrets-operator namespace: vault-secrets-operator spec: replicas: 1 selector: matchLabels: app: vault-secrets-operator template: metadata: labels: app: vault-secrets-operator spec: containers: - name: vault-secrets-operator image: hashicorp/vault-secrets-operator:<IMAGE_TAG> args: - --leader-elect env: - name: POD_NAMESPACE valueFrom: fieldRef: fieldPath: metadata.namespace - name: VAULT_ADDR value: "https://vault.example.com:8200" # Vault服务地址 - name: VAULT_TOKEN valueFrom: secretKeyRef: name: vault-token key: token # 存储Vault访问令牌的Secret
应用部署清单:
bashkubectl create namespace vault-secrets-operator kubectl apply -f vault-secrets-operator-deploy.yaml
3. 创建同步CRD示例
以同步Vault静态密钥为例,创建VaultStaticSecret CRD:
yamlapiVersion: secret.hashicorp.com/v1beta1 kind: VaultStaticSecret metadata: name: example-vault-static-secret spec: vaultAuthRef: example-vault-auth # 关联Vault认证配置(需提前创建) mount: kv-v2 # Vault密钥引擎挂载路径 path: my-secret # Vault密钥路径 destination: name: k8s-secret # 目标Kubernetes Secret名称 create: true # 自动创建目标Secret refreshAfter: 30s # 同步间隔
应用CRD:
bashkubectl apply -f example-vault-static-secret.yaml
Docker部署说明(非推荐)
VSO作为Kubernetes Operator,设计目标为运行在K8s集群中,直接通过docker run部署需手动配置K8s API访问,仅建议用于测试环境:
bashdocker run -d \ --name vault-secrets-operator \ -v /path/to/kubeconfig:/root/.kube/config \ # 挂载K8s配置以访问集群API -e VAULT_ADDR="https://vault.example.com:8200" \ # Vault服务地址 -e VAULT_TOKEN="hvs.xxxx" \ # Vault访问令牌(测试用,生产环境建议用Vault Auth CRD) -e LOG_LEVEL="info" \ # 日志级别(debug/info/warn/error) hashicorp/vault-secrets-operator:<IMAGE_TAG>
配置参数与环境变量
VSO支持通过环境变量或CRD配置参数自定义行为,核心配置如下:
环境变量(Operator容器级)
| 参数名 | 说明 | 默认值 |
|---|---|---|
VAULT_ADDR | Vault服务地址(如https://vault:8200) | 无(必填) |
POD_NAMESPACE | Operator部署的Kubernetes命名空间(用于监听CRD) | 自动从Pod元数据获取 |
LOG_LEVEL | 日志级别(debug/info/warn/error) | info |
LEADER_ELECT | 是否启用Leader选举(多副本部署时确保单实例同步) | true |
WATCH_NAMESPACE | 限制监听的命名空间(默认监听所有命名空间,指定后仅监听目标命名空间) | 无(监听所有) |
CRD配置参数(密钥同步级)
通过VaultStaticSecret/VaultDynamicSecret等CRD的spec字段配置同步规则,核心参数包括:
vaultAuthRef:关联Vault认证配置(如Kubernetes Auth、Token Auth等,需通过VaultAuthCRD定义)。mount:Vault密钥引擎的挂载路径(如kv-v2)。path:Vault密钥的完整路径(如myapp/database)。destination:目标Kubernetes Secret的名称及创建策略。refreshAfter:密钥同步间隔(如30s)。
参考文档
- Vault Secrets Operator 官方文档
- https://github.com/hashicorp/vault-secrets-operator/tree/main/config/crd/bases
- https://hub.docker.com/r/hashicorp/vault-secrets-operator
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 vault-secrets-operator 镜像标签
docker pull docker.xuanyuan.run/hashicorp/vault-secrets-operator:<标签>
DockerHub 原生拉取命令
docker pull hashicorp/vault-secrets-operator:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"