Vault 密钥管理与 Kubernetes 集成实践

概览与核心价值Vault 提供集中化密钥管理与动态凭证。与 Kubernetes 集成后，可以通过 Sidecar Injector 或 CSI 驱动实现密钥安全注入与轮换。Injector 注入示例apiVersion: v1

kind: Pod

metadata:

name: app

annotations:

vault.hashicorp.com/agent-inject: 'true'

vault.hashicorp.com/role: 'app-role'

vault.hashicorp.com/agent-inject-secret-config: 'secret/data/app/config'

spec:

containers:

- name: app

image: ghcr.io/company/app:1.0.0

env:

- name: CONFIG_PATH

value: /vault/secrets/config

CSI 驱动示例apiVersion: v1

kind: Pod

metadata:

name: app-csi

spec:

volumes:

- name: vault-secrets

csi:

driver: secrets-store.csi.k8s.io

readOnly: true

volumeAttributes:

secretProviderClass: vault-app

containers:

- name: app

image: ghcr.io/company/app:1.0.0

volumeMounts:

- name: vault-secrets

mountPath: /mnt/secrets

参数与验证环境：`Vault 1.15+`、`Kubernetes v1.28`。验证点：注入的文件可在容器中访问，内容与 Vault 中的密钥一致动态凭证（如数据库账号）能够在过期后自动轮换权限与角色映射正确，未经授权的 Pod 不可读取密钥最佳实践- 为工作负载设置最小权限的 Vault 角色与策略- 使用短期动态凭证，减少密钥泄露风险- 结合审计日志与告警，追踪密钥访问行为结论通过 Injector 或 CSI 集成，Vault 能够在 Kubernetes 中安全地管理与注入密钥，动态凭证与审计能力提升整体安全性。