hashicorp/vault-secrets-operator Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
hashicorp/vault-secrets-operatorhashicorp
Vault密钥操作器的自动构建镜像,基于当前版本进行构建。
2 次收藏下载次数: 0状态:社区镜像维护者:hashicorp仓库类型:镜像最近更新:21 天前
Vault Secrets Operator 官方镜像
镜像概述与主要用途
Vault Secrets Operator(VSO)官方镜像是基于当前发布版本自动构建的容器镜像,用于在Kubernetes环境中实现Vault密钥与Kubernetes Secrets的原生同步。其核心用途是允许Kubernetes Pod通过Kubernetes Secrets间接消费Vault密钥,无需直接访问Vault服务,从而简化密钥管理流程并增强安全性。该镜像支持从Vault社区版、企业版及HCP Vault Secrets同步密钥。
核心功能与特性
1. 基于CRD的同步机制
通过监听Kubernetes集群中支持的自定义资源定义(CRD),触发Vault密钥到Kubernetes Secrets的同步操作,CRD中包含同步所需的配置规范。
2. 多源密钥支持
兼容多种Vault服务类型,包括Vault社区版、企业版以及HCP Vault Secrets,满足不同部署环境的需求。
3. 实时变更同步
将Vault中的源密钥数据直接写入Kubernetes目标Secret,并持续监控源密钥变更,确保目标Secret与源密钥实时保持一致。
4. 原生Kubernetes集成
应用Pod只需访问Kubernetes Secrets即可获取密钥数据,无需集成Vault SDK或直接调用Vault API,降低应用复杂度。
使用场景与适用范围
适用场景
- Kubernetes密钥集中管理:需将Vault作为密钥存储中心,同时通过Kubernetes Secrets向应用提供密钥的场景。
- 动态密钥同步:Vault密钥频繁更新(如数据库凭证自动轮换),需实时同步至Kubernetes Secrets的场景。
- 安全访问控制:希望限制应用直接访问Vault,通过Kubernetes RBAC控制密钥访问权限的场景。
适用范围
- 运行环境:Kubernetes集群(需支持CRD,建议版本1.21+)。
- 依赖服务:已部署Vault服务(社区版/企业版)或使用HCP Vault Secrets,且网络可互通。
- 目标用户:Kubernetes集群管理员、DevOps工程师、需要在K8s环境中安全管理密钥的开发团队。
使用方法与配置说明
部署前提
- Kubernetes集群(版本≥1.21),已启用CRD支持。
- Vault服务(社区版/企业版或HCP Vault Secrets)已部署并可访问,且已配置必要的访问策略(如创建角色、策略授权)。
- 集群内已安装kubectl工具,且用户具备集群管理员权限(用于部署CRD及Operator)。
Kubernetes部署示例(推荐)
VSO作为Kubernetes Operator,需部署至Kubernetes集群中,以下为基础部署流程:
1. 安装CRD
首先部署VSO所需的CRD:
bashkubectl apply -f [***] kubectl apply -f [***] # 其他CRD(如VaultAuth、VaultConnection等)根据实际需求部署,参考官方文档
2. 部署Operator
通过容器镜像部署VSO控制器(需替换<IMAGE_TAG>为实际版本,如1.0.0):
yaml# vault-secrets-operator-deploy.yaml apiVersion: apps/v1 kind: Deployment metadata: name: vault-secrets-operator namespace: vault-secrets-operator spec: replicas: 1 selector: matchLabels: app: vault-secrets-operator template: metadata: labels: app: vault-secrets-operator spec: containers: - name: vault-secrets-operator image: hashicorp/vault-secrets-operator:<IMAGE_TAG> args: - --leader-elect env: - name: POD_NAMESPACE valueFrom: fieldRef: fieldPath: metadata.namespace - name: VAULT_ADDR value: "[***]" # Vault服务地址 - name: VAULT_TOKEN valueFrom: secretKeyRef: name: vault-token key: token # 存储Vault访问令牌的Secret
应用部署清单:
bashkubectl create namespace vault-secrets-operator kubectl apply -f vault-secrets-operator-deploy.yaml
3. 创建同步CRD示例
以同步Vault静态密钥为例,创建VaultStaticSecret CRD:
yamlapiVersion: secret.hashicorp.com/v1beta1 kind: VaultStaticSecret metadata: name: example-vault-static-secret spec: vaultAuthRef: example-vault-auth # 关联Vault认证配置(需提前创建) mount: kv-v2 # Vault密钥引擎挂载路径 path: my-secret # Vault密钥路径 destination: name: k8s-secret # 目标Kubernetes Secret名称 create: true # 自动创建目标Secret refreshAfter: 30s # 同步间隔
应用CRD:
bashkubectl apply -f example-vault-static-secret.yaml
Docker部署说明(非推荐)
VSO作为Kubernetes Operator,设计目标为运行在K8s集群中,直接通过docker run部署需手动配置K8s API访问,仅建议用于测试环境:
bashdocker run -d \ --name vault-secrets-operator \ -v /path/to/kubeconfig:/root/.kube/config \ # 挂载K8s配置以访问集群API -e VAULT_ADDR="[***]" \ # Vault服务地址 -e VAULT_TOKEN="hvs.xxxx" \ # Vault访问令牌(测试用,生产环境建议用Vault Auth CRD) -e LOG_LEVEL="info" \ # 日志级别(debug/info/warn/error) hashicorp/vault-secrets-operator:<IMAGE_TAG>
配置参数与环境变量
VSO支持通过环境变量或CRD配置参数自定义行为,核心配置如下:
环境变量(Operator容器级)
| 参数名 | 说明 | 默认值 |
|---|---|---|
VAULT_ADDR | Vault服务地址(如[***]) | 无(必填) |
POD_NAMESPACE | Operator部署的Kubernetes命名空间(用于监听CRD) | 自动从Pod元数据获取 |
LOG_LEVEL | 日志级别(debug/info/warn/error) | info |
LEADER_ELECT | 是否启用Leader选举(多副本部署时确保单实例同步) | true |
WATCH_NAMESPACE | 限制监听的命名空间(默认监听所有命名空间,指定后仅监听目标命名空间) | 无(监听所有) |
CRD配置参数(密钥同步级)
通过VaultStaticSecret/VaultDynamicSecret等CRD的spec字段配置同步规则,核心参数包括:
vaultAuthRef:关联Vault认证配置(如Kubernetes Auth、Token Auth等,需通过VaultAuthCRD定义)。mount:Vault密钥引擎的挂载路径(如kv-v2)。path:Vault密钥的完整路径(如myapp/database)。destination:目标Kubernetes Secret的名称及创建策略。refreshAfter:密钥同步间隔(如30s)。
参考文档
- Vault Secrets Operator 官方文档
- Vault Secrets Operator CRD 定义
- Vault 官方镜像仓库
hashicorp/consul-template
hashicorp
Consul Template 是 HashiCorp Consul 和 Vault 的模板渲染器、通知器及监控器。
32 次收藏1亿+ 次下载
1 个月前更新
hashicorp/terraform
hashicorp
Terraform的自动构建。有关更多使用方法和信息,请参见README。
505 次收藏1亿+ 次下载
29 天前更新
hashicorp/vault
hashicorp
HashiCorp Vault官方Docker镜像,用于在容器环境中安全存储、访问和管理机密信息,提供官方认证的部署方案。
209 次收藏1亿+ 次下载
1 个月前更新
hashicorp/tfc-agent
hashicorp
Terraform Cloud Agent是连接用户私有环境与Terraform Cloud的代理服务,用于在自有基础设施中安全执行Terraform计划、应用等IaC操作,保障数据本地化与合规性。
14 次收藏1亿+ 次下载
1 个月前更新
hashicorp/consul
hashicorp
基于当前版本自动构建的Consul镜像。有关使用详情,请参见README。
89 次收藏5000万+ 次下载
1 个月前更新
hashicorp/vault-k8s
hashicorp
提供Vault与Kubernetes之间的一流集成,支持两者高效安全协作的工具。
20 次收藏5000万+ 次下载
2 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"