Použití zprostředkovatele služby Azure Key Vault pro ovladač CSI úložiště tajných kódů v Azure Red Hat OpenShiftu

Zprostředkovatel služby Azure Key Vault pro ovladač CSI úložiště tajných kódů umožňuje získat obsah tajných kódů uložený v instanci služby Azure Key Vault a pomocí ovladače CSI úložiště tajných kódů je připojit k podům Kubernetes. Tento článek vysvětluje, jak používat zprostředkovatele služby Azure Key Vault pro ovladač CSI úložiště tajných kódů v Azure Red Hat OpenShiftu.

Poznámka:

Jako alternativu k opensourcovém řešení uvedenému v tomto článku můžete použít Azure Arc ke správě clusterů ARO spolu s jeho poskytovatelem služby Azure Key Vault pro rozšíření ovladače CSI úložiště tajných kódů. Microsoft tuto metodu plně podporuje a doporučuje se místo opensourcového řešení níže.

Požadavky

Jsou vyžadovány následující požadavky:

• Cluster Azure Red Hat OpenShift (další informace najdete v tématu Vytvoření clusteru Azure Red Hat OpenShift.)
• Azure CLI (přihlášené)
• Rozhraní příkazového řádku Helm 3.x

Nastavení proměnných prostředí

Nastavte následující proměnné, které se použijí v rámci tohoto postupu:

export KEYVAULT_RESOURCE_GROUP=${AZR_RESOURCE_GROUP:-"openshift"}
export KEYVAULT_LOCATION=${AZR_RESOURCE_LOCATION:-"eastus"}
export KEYVAULT_NAME=secret-store-$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 10 | head -n 1)
export AZ_TENANT_ID=$(az account show -o tsv --query tenantId)

Instalace ovladače CSI úložiště tajných kódů Kubernetes

1. Vytvoření projektu ARO; Do tohoto projektu nasadíte ovladač CSI:

   oc new-project k8s-secrets-store-csi
   

2. Nastavte securityContextConstraints tak, aby byl ovladač CSI spuštěný (jinak ovladač CSI nebude moct vytvářet pody):

   oc adm policy add-scc-to-user privileged \
     system:serviceaccount:k8s-secrets-store-csi:secrets-store-csi-driver
   

3. Přidejte ovladač CSI úložiště tajných kódů do úložišť Helm:

   helm repo add secrets-store-csi-driver \
     https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
   

4. Aktualizujte úložiště Helm:

   helm repo update
   

5. Nainstalujte ovladač CSI úložiště tajných kódů:

   helm install -n k8s-secrets-store-csi csi-secrets-store \
      secrets-store-csi-driver/secrets-store-csi-driver \
      --version v1.3.1 \
      --set "linux.providersDir=/var/run/secrets-store-csi-providers"
   

   Volitelně můžete povolit automatickourotaci tajných kódů přidáním následujících parametrů do výše uvedeného příkazu:

   --set "syncSecret.enabled=true" --set "enableSecretRotation=true"

6. Ověřte, že jsou spuštěné daemonSety ovladačů CSI:

   kubectl --namespace=k8s-secrets-store-csi get pods -l "app=secrets-store-csi-driver"
   

   Po spuštění výše uvedeného příkazu byste měli vidět následující:

   NAME                                               READY   STATUS    RESTARTS   AGE
    csi-secrets-store-secrets-store-csi-driver-cl7dv   3/3     Running   0          57s
    csi-secrets-store-secrets-store-csi-driver-gbz27   3/3     Running   0          57s
   

Nasazení zprostředkovatele služby Azure Key Vault pro ovladač CSI úložiště tajných kódů

1. Přidejte úložiště Azure Helm:

   helm repo add csi-secrets-store-provider-azure \
      https://azure.github.io/secrets-store-csi-driver-provider-azure/charts
   

2. Aktualizujte místní úložiště Helm:

   helm repo update
   

3. Nainstalujte zprostředkovatele CSI služby Azure Key Vault:

   helm install -n k8s-secrets-store-csi azure-csi-provider \
      csi-secrets-store-provider-azure/csi-secrets-store-provider-azure \
      --set linux.privileged=true --set secrets-store-csi-driver.install=false \
      --set "linux.providersDir=/var/run/secrets-store-csi-providers" \
      --version=v1.4.1
   

4. Nastavte securityContextConstraints tak, aby se ovladač CSI spustil:

   oc adm policy add-scc-to-user privileged \
      system:serviceaccount:k8s-secrets-store-csi:csi-secrets-store-provider-azure
   

Vytvoření trezoru klíčů a tajného kódu

1. Vytvořte obor názvů pro vaši aplikaci.

   oc new-project my-application
   

2. Ve skupině prostředků, která obsahuje ARO, vytvořte trezor klíčů Azure.

   az keyvault create -n ${KEYVAULT_NAME} \
      -g ${KEYVAULT_RESOURCE_GROUP} \
      --location ${KEYVAULT_LOCATION}
   

3. Vytvořte tajný klíč v trezoru klíčů.

   az keyvault secret set \
      --vault-name ${KEYVAULT_NAME} \
      --name secret1 --value "Hello"
   

4. Vytvořte instanční objekt pro trezor klíčů.

   Poznámka:

   Pokud při vytváření instančního objektu dojde k chybě, možná budete muset upgradovat Azure CLI na nejnovější verzi.

   export SERVICE_PRINCIPAL_CLIENT_SECRET="$(az ad sp create-for-rbac --skip-assignment --name http://$KEYVAULT_NAME --query 'password' -otsv)"
   export SERVICE_PRINCIPAL_CLIENT_ID="$(az ad sp list --display-name http://$KEYVAULT_NAME --query '[0].appId' -otsv)"
   

5. Nastavte zásadu přístupu pro instanční objekt.

   az keyvault set-policy -n ${KEYVAULT_NAME} \
      --secret-permissions get \
      --spn ${SERVICE_PRINCIPAL_CLIENT_ID}
   

6. Vytvořte a označte tajný kód pro Kubernetes, který se má použít pro přístup k trezoru klíčů.

   kubectl create secret generic secrets-store-creds \
      -n my-application \
      --from-literal clientid=${SERVICE_PRINCIPAL_CLIENT_ID} \
      --from-literal clientsecret=${SERVICE_PRINCIPAL_CLIENT_SECRET}
   kubectl -n my-application label secret \
      secrets-store-creds secrets-store.csi.k8s.io/used=true
   

Nasazení aplikace, která používá ovladač CSI

1. Vytvořte přístup SecretProviderClass k tomuto tajnému kódu:

   cat <<EOF | kubectl apply -f -
    apiVersion: secrets-store.csi.x-k8s.io/v1
    kind: SecretProviderClass
    metadata:
      name: azure-kvname
      namespace: my-application
    spec:
      provider: azure
      parameters:
        usePodIdentity: "false"
        useVMManagedIdentity: "false"
        userAssignedIdentityID: ""
        keyvaultName: "${KEYVAULT_NAME}"
        objects: |
          array:
            - |
              objectName: secret1
              objectType: secret
              objectVersion: ""
        tenantId: "${AZ_TENANT_ID}"
   EOF
   

2. Vytvořte pod, který používá SecretProviderClass vytvořený v předchozím kroku:

   cat <<EOF | kubectl apply -f -
    kind: Pod
    apiVersion: v1
    metadata:
      name: busybox-secrets-store-inline
      namespace: my-application
    spec:
      containers:
      - name: busybox
        image: k8s.gcr.io/e2e-test-images/busybox:1.29
        command:
          - "/bin/sleep"
          - "10000"
        volumeMounts:
        - name: secrets-store-inline
          mountPath: "/mnt/secrets-store"
          readOnly: true
      volumes:
        - name: secrets-store-inline
          csi:
            driver: secrets-store.csi.k8s.io
            readOnly: true
            volumeAttributes:
              secretProviderClass: "azure-kvname"
            nodePublishSecretRef:
              name: secrets-store-creds
   EOF
   

3. Zkontrolujte, jestli je tajný kód připojený:

   kubectl exec busybox-secrets-store-inline -- ls /mnt/secrets-store/
   

   Výstup by měl odpovídat následujícímu:

   secret1
   

4. Vytiskněte tajný kód:

   kubectl exec busybox-secrets-store-inline \
      -- cat /mnt/secrets-store/secret1
   

   Výstup by měl odpovídat následujícímu:

   Hello
   

Vyčištění

Odinstalujte zprostředkovatele služby Key Vault a ovladač CSI.

Odinstalace zprostředkovatele služby Key Vault

1. Odinstalace chartu Helm:

   helm uninstall -n k8s-secrets-store-csi azure-csi-provider
   

2. Odstraňte aplikaci:

   oc delete project my-application
   

3. Odstranění trezoru klíčů Azure:

   az keyvault delete -n ${KEYVAULT_NAME}
   

4. Odstraňte instanční objekt:

   az ad sp delete --id ${SERVICE_PRINCIPAL_CLIENT_ID}
   

Odinstalace ovladače CSI úložiště tajných kódů Kubernetes

1. Odstraňte ovladač csI úložiště tajných kódů:

   helm uninstall -n k8s-secrets-store-csi csi-secrets-store
   oc delete project k8s-secrets-store-csi
   

2. Odstraňte omezení SecurityContext:

   oc adm policy remove-scc-from-user privileged \
     system:serviceaccount:k8s-secrets-store-csi:secrets-store-csi-driver