Aller au contenu principal
Sommaire de la formation

Installation de vautl agent injector

coolibra391 vues
  • Installation :
    • Pré-requis : Cluster Kubernetes, Helm Chart, Vault installé et accessible.
    • Déploiement de l'agent injector via Helm

Pré-requis

  • Un cluster Kubernetes fonctionnel.

  • Helm installé sur votre machine.

  • Vault server installé et accessible depuis le cluster Kubernetes(chapitre 3 ou 4)

Deploiement de l'injector via helm

  • Ajoutez le repository Helm de HashiCorp :
helm repo add hashicorp https://helm.releases.hashicorp.com
helm repo update
helm search repo hashicorp/vault

 

injector:
  enabled: true
  revokeOnShutdown: true
  authPath: "auth/k8s-gke-sd-dev"  # je conseil de mettre le nom du cluster comme nom.

global:  
  externalVaultAddr: "url_vault_server"

 

helm upgrade --install vault-injector hashicorp/vault -n vault-operator --version 0.29.1 --create-namespace -f values-injector.yaml
kubectl get po,sa,secret -n vault-operator

 

On voit un service account nommé qui est le helm release name. Si on utilise un release name different ça sera different.

 

  • Créer un token pour le service account
kubectl -n vault-operator apply -f - <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: vault-injector-token
  annotations:
    kubernetes.io/service-account.name: vault-injector  # renseigner bien le bon nom du serviceaccount
type: kubernetes.io/service-account-token
EOF

kubectl get po,sa,secret -n vault-operator

 

On vera bien le secret/vault-injector-token qui servira de token d'accès sur vault.

 

On peut dejà recuperer les infos qui vont servir à configurer l'agent injector sur vault server

 

  • Récurperer les informations de configuration
KUBE_HOST=$(kubectl config view --raw --minify --flatten --output='jsonpath={.clusters[].cluster.server}')
echo $KUBE_HOST


KUBE_CA_CERT=$(kubectl config view --raw --minify --flatten --output='jsonpath={.clusters[].cluster.certificate-authority-data}' | base64 --decode)
echo $KUBE_CA_CERT


# remplacer bien le namespace et le nom de secret
TOKEN_REVIEW_JWT=$(kubectl -n vault-operator get secret vault-injector-token --output='go-template={{ .data.token }}' | base64 --decode)
echo $TOKEN_REVIEW_JWT

 

 

Notez bien ces infos

 

Commentaires

Connectez-vous pour rejoindre la discussion.

Aucun commentaire pour le moment.