Vault 密钥管理与 Kubernetes 集成实践

概览与核心价值Vault 提供集中化密钥管理与动态凭证。与 Kubernetes 集成后，可以通过 Sidecar Injector 或 CSI 驱动实现密钥安全注入与轮换。Injector 注入示例apiVersion: v1 kind: Pod metadata: name: app annotations: vault.hashicorp.com/agent-inject: 'true' vault.hashicorp.com/role: 'app-role' vault.hashicorp.com/agent-inject-secret-config: 'secret/data/app/config' spec: containers: - name: app image: ghcr.io/company/app:1.0.0 env: - name: CONFIG_PATH value: /vault/secrets/config CSI 驱动示例apiVersion: v1 kind: Pod metadata: name: app-csi spec: volumes: - name: vault-secrets csi: driver: secrets-store.csi.k8s.io readOnly: true volumeAttributes: secretProviderClass: vault-app containers: - name: app image: ghcr.io/company/app:1.0.0 volumeMounts: - name: vault-secrets mountPath: /mnt/secrets 参数与验证环境：`Vault 1.15+`、`Kubernetes v1.28`。验证点：注入的文件可在容器中访问，内容与 Vault 中的密钥一致动态凭证（如数据库账号）能够在过期后自动轮换权限与角色映射正确，未经授权的 Pod 不可读取密钥最佳实践- 为工作负载设置最小权限的 Vault 角色与策略- 使用短期动态凭证，减少密钥泄露风险- 结合审计日志与告警，追踪密钥访问行为结论通过 Injector 或 CSI 集成，Vault 能够在 Kubernetes 中安全地管理与注入密钥，动态凭证与审计能力提升整体安全性。