已成功将Vault与Kubernetes集成,并使运行在K8s上的应用程序从Hashicorp Vault获取它们的环境变量。一切进展顺利!但是,想要更进一步,希望在Vault中更改密钥时能自动重启Pod,目前每次更改Vault密钥时都必须手动重启Pod以重新设置环境变量。如何实现这一点?听说过confd,但不确定如何实现!
4个回答
4
可以使用重新加载器https://github.com/stakater/Reloader。我们在集群中发现它非常有用。由于它执行滚动更新,因此您也可以在零停机时间下更改配置。如果您在configmap中犯了一些错误,也可以轻松进行回滚。
- Saurabh Nigam
1
Reloader很棒,但它只会触发Kubernetes资源的更新。它不会监视Vault的秘密。 - undefined
1
根据你的付出程度,以下是几个想法:
定期重启Pod。一种可行的方法是使用存活探针,例如this answer。缺点是如果没有额外的脚本,就无法将存活探针用作真正的健康检查。
创建一个操作员,轮询Vault以获取更改,并指示Kubernetes在检测到更改时重新启动Pod。不确定Vault是否具有可用于此目的的事件API。
- Grant David Bachman
0
最后,出于好奇心,想到了一个构建操作员的想法,以监视Vault中特定秘密引擎的任何更改,并重新启动在自定义资源中定义的相应部署的Pod。这是关于它的中介博客和代码库 - https://medium.com/@ashitacharya1/the-auto-rollout-of-kubernetes-pods-upon-change-of-hashicorp-vault-secrets-kopf-operator-670aa670def0 对一些人可能有所帮助。
- AshitAcharya
0
https://www.vaultproject.io/docs/agent/template#renewals-and-updating-secrets
如果一个秘密或令牌不可更新或租赁,Vault代理将每5分钟获取一次秘密。这是不可配置的。不可更新的秘密包括(但不限于)KV版本2。- VigneshS
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 9 当 Secrets 更新时重新启动 Pod
- 8 HashiCorp Vault 密封问题
- 242 在Kubernetes中,当ConfigMap更新时如何重新启动Pods?
- 4 当另一个发生变化时,重新启动Kubernetes pod
- 5 HashiCorp Vault用于填充Kubernetes secrets。
- 3 使用Hashicorp Packer和Vault Secret Engine KV2
- 3 Kubernetes:从pod中删除secret
- 4 系统重新启动后无法解封 Hashicorp Vault
- 3 如何注入Vault并使用HashiCorp Vault密钥?
- 4 Kubernetes POD 重新启动