Installation de vautl agent injector
coolibra391 vues
- Installation :
- Pré-requis : Cluster Kubernetes, Helm Chart, Vault installé et accessible.
- Déploiement de l'agent injector via Helm
Pré-requis
-
Un cluster Kubernetes fonctionnel.
-
Helm installé sur votre machine.
- Vault server installé et accessible depuis le cluster Kubernetes(chapitre 3 ou 4)
Deploiement de l'injector via helm
- Ajoutez le repository Helm de HashiCorp :
helm repo add hashicorp https://helm.releases.hashicorp.com
helm repo update
helm search repo hashicorp/vault
- Helm vaules values-injector.yaml
injector:
enabled: true
revokeOnShutdown: true
authPath: "auth/k8s-gke-sd-dev" # je conseil de mettre le nom du cluster comme nom.
global:
externalVaultAddr: "url_vault_server"
helm upgrade --install vault-injector hashicorp/vault -n vault-operator --version 0.29.1 --create-namespace -f values-injector.yaml
kubectl get po,sa,secret -n vault-operator

On voit un service account nommé qui est le helm release name. Si on utilise un release name different ça sera different.

- Créer un token pour le service account
kubectl -n vault-operator apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
name: vault-injector-token
annotations:
kubernetes.io/service-account.name: vault-injector # renseigner bien le bon nom du serviceaccount
type: kubernetes.io/service-account-token
EOF
kubectl get po,sa,secret -n vault-operator
On vera bien le secret/vault-injector-token qui servira de token d'accès sur vault.

On peut dejà recuperer les infos qui vont servir à configurer l'agent injector sur vault server
- Récurperer les informations de configuration
KUBE_HOST=$(kubectl config view --raw --minify --flatten --output='jsonpath={.clusters[].cluster.server}')
echo $KUBE_HOST
KUBE_CA_CERT=$(kubectl config view --raw --minify --flatten --output='jsonpath={.clusters[].cluster.certificate-authority-data}' | base64 --decode)
echo $KUBE_CA_CERT
# remplacer bien le namespace et le nom de secret
TOKEN_REVIEW_JWT=$(kubectl -n vault-operator get secret vault-injector-token --output='go-template={{ .data.token }}' | base64 --decode)
echo $TOKEN_REVIEW_JWT

Notez bien ces infos
Commentaires
Connectez-vous pour rejoindre la discussion.
Aucun commentaire pour le moment.