在Solo.io Gloo中使用AWS IRSA实现Vault密钥安全存储
2025-06-12 11:32:15作者:段琳惟
前言
在现代云原生架构中,密钥管理是保障应用安全的重要环节。本文将详细介绍如何在Solo.io Gloo网关中,通过AWS IAM Roles for Service Accounts (IRSA)机制,实现与Hashicorp Vault的安全集成,从而优雅地解决密钥管理问题。
核心概念解析
AWS IRSA机制
AWS IRSA允许将IAM角色直接关联到Kubernetes服务账户,使Pod能够自动获取并使用临时AWS凭证。相比传统长期凭证,这种方式具有以下优势:
- 自动轮换凭证,提高安全性
- 细粒度的权限控制
- 无需在代码或配置中硬编码凭证
Vault与AWS集成原理
Vault支持通过AWS IAM角色进行身份验证,验证流程如下:
- Pod通过IRSA获取临时AWS凭证
- 使用这些凭证向Vault进行身份验证
- Vault验证IAM角色后颁发访问令牌
- Gloo使用令牌访问存储在Vault中的密钥
实施步骤详解
第一阶段:AWS环境准备
1. 创建带OIDC的EKS集群
# 设置环境变量
export NAMESPACE=gloo-system
export CLUSTER_NAME=<your-cluster-name>
export AWS_REGION=<your-region>
export ACCOUNT_ID=$(aws sts get-caller-identity --query "Account" --output text)
# 关联OIDC提供商
eksctl utils associate-iam-oidc-provider --cluster ${CLUSTER_NAME} --approve
# 获取OIDC提供商信息
export OIDC_PROVIDER=$(aws eks describe-cluster --name ${CLUSTER_NAME} \
--region ${AWS_REGION} --query "cluster.identity.oidc.issuer" \
--output text | sed -e "s/^https:\/\///")
2. 创建IAM角色
创建信任关系文件trust-relationship.json:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::${ACCOUNT_ID}:oidc-provider/${OIDC_PROVIDER}"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEqualsIfExists": {
"${OIDC_PROVIDER}:aud": "sts.amazonaws.com",
"${OIDC_PROVIDER}:sub": [
"system:serviceaccount:${NAMESPACE}:gloo",
"system:serviceaccount:${NAMESPACE}:discovery"
]
}
}
}
]
}
创建角色并获取ARN:
export VAULT_AUTH_ROLE_NAME="dev-role-iam-${CLUSTER_NAME}"
export VAULT_AUTH_ROLE_ARN=$(aws iam create-role \
--role-name $VAULT_AUTH_ROLE_NAME \
--assume-role-policy-document file://trust-relationship.json \
--description "Vault auth role" | jq -r .Role.Arn)
3. 创建并附加IAM策略
创建策略文件gloo-vault-auth-policy.json:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Action": [
"iam:GetInstanceProfile",
"ec2:DescribeInstances",
"iam:GetUser",
"iam:GetRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["sts:AssumeRole"],
"Resource": ["${VAULT_AUTH_ROLE_ARN}"]
}
]
}
创建策略并附加到角色:
export VAULT_AUTH_POLICY_NAME=gloo-vault-auth-policy-${CLUSTER_NAME}
export VAULT_AUTH_POLICY_ARN=$(aws iam create-policy \
--region=${AWS_REGION} \
--policy-name="${VAULT_AUTH_POLICY_NAME}" \
--description="Policy for Vault authentication" \
--policy-document file://gloo-vault-auth-policy.json | jq -r .Policy.Arn)
aws iam attach-role-policy \
--role-name=${VAULT_AUTH_ROLE_NAME} \
--policy-arn=${VAULT_AUTH_POLICY_ARN}
第二阶段:Vault配置
1. 部署Vault服务
使用Helm快速部署开发模式Vault:
helm repo add hashicorp https://helm.releases.hashicorp.com
helm install vault hashicorp/vault \
--set "server.dev.enabled=true" \
--namespace vault \
--create-namespace
验证Vault状态:
kubectl exec -n vault vault-0 -- vault status
2. 初始化Vault
进入Vault Pod执行初始化:
kubectl exec -n vault -it vault-0 -- sh
# 启用AWS认证
vault auth enable aws
# 启用KV存储引擎
vault secrets enable -path="dev" -version=2 kv
# 创建策略文件
cat <<EOF > policy.hcl
path "dev/*" {
capabilities = ["create", "read", "update", "delete", "list"]
}
path "dev/" {
capabilities = ["list"]
}
path "sys/mounts" {
capabilities = ["read", "list"]
}
EOF
# 应用策略
vault policy write dev policy.hcl
exit
3. 配置AWS认证
export IAM_SERVER_ID_HEADER_VALUE=vault.gloo.example.com
kubectl -n vault exec vault-0 -- vault write auth/aws/config/client \
iam_server_id_header_value=${IAM_SERVER_ID_HEADER_VALUE} \
sts_endpoint=https://sts.${AWS_REGION}.amazonaws.com \
sts_region=${AWS_REGION}
4. 绑定Vault策略与IAM角色
kubectl -n vault exec vault-0 -- vault write auth/aws/role/${VAULT_AUTH_ROLE_NAME} \
auth_type=iam \
bound_iam_principal_arn="${VAULT_AUTH_ROLE_ARN}" \
policies=dev \
max_ttl=15m
第三阶段:Gloo网关集成
1. 准备Helm配置
创建helm-overrides.yaml文件:
settings:
secretOptions:
sources:
- vault:
address: ${VAULT_ADDRESS}
aws:
iamServerIdHeader: ${IAM_SERVER_ID_HEADER_VALUE}
mountPath: aws
region: ${AWS_REGION}
pathPrefix: dev
- kubernetes: {}
gloo:
serviceAccount:
extraAnnotations:
eks.amazonaws.com/role-arn: ${VAULT_AUTH_ROLE_ARN}
discovery:
serviceAccount:
extraAnnotations:
eks.amazonaws.com/role-arn: ${VAULT_AUTH_ROLE_ARN}
2. 安装Gloo网关
helm install gloo gloo/gloo \
--namespace gloo-system \
--create-namespace \
--values helm-overrides.yaml
安全最佳实践
- 最小权限原则:仅授予必要的Vault访问权限
- 临时凭证:设置较短的TTL(如15分钟)
- 网络隔离:确保Vault服务仅在内部网络可访问
- 审计日志:启用Vault审计日志记录所有访问
- 定期轮换:定期轮换IAM角色和策略
常见问题排查
权限不足错误
若遇到iam:GetRole
权限错误,需创建附加策略:
export VAULT_ASSUMED_ROLE=<your-assumed-role>
export VAULT_AUTH_GET_ROLE_POLICY_NAME=gloo-vault-auth-get-role-policy-${CLUSTER_NAME}
cat <<EOF > gloo-vault-auth-policy-get-role.json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["iam:GetRole"],
"Resource": ["${VAULT_AUTH_ROLE_ARN}"]
}
]
}
EOF
aws iam create-policy \
--policy-name="${VAULT_AUTH_GET_ROLE_POLICY_NAME}" \
--policy-document file://gloo-vault-auth-policy-get-role.json
aws iam attach-role-policy \
--role-name ${VAULT_ASSUMED_ROLE} \
--policy-arn=${VAULT_AUTH_POLICY_ASSUME_ROLE_ARN}
总结
通过本文的配置,我们实现了:
- Gloo网关通过IRSA自动获取临时AWS凭证
- 使用这些凭证安全地访问Vault中的密钥
- 完全避免了硬编码凭证的安全风险
- 实现了自动化的密钥轮换机制
这种集成方式不仅提高了安全性,还简化了密钥管理工作流程,是生产环境中推荐的密钥管理方案。
登录后查看全文
热门项目推荐
HunyuanImage-3.0
HunyuanImage-3.0 统一多模态理解与生成,基于自回归框架,实现文本生成图像,性能媲美或超越领先闭源模型00ops-transformer
本项目是CANN提供的transformer类大模型算子库,实现网络在NPU上加速计算。C++043Hunyuan3D-Part
腾讯混元3D-Part00GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~0289Hunyuan3D-Omni
腾讯混元3D-Omni:3D版ControlNet突破多模态控制,实现高精度3D资产生成00GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00- HHowToCook程序员在家做饭方法指南。Programmer's guide about how to cook at home (Chinese only).Dockerfile09
- PpathwayPathway is an open framework for high-throughput and low-latency real-time data processing.Python00
项目优选
收起

deepin linux kernel
C
22
6

OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
164
2.05 K

Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0

🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
60
16

🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
952
560

基于golang开发的网关。具有各种插件,可以自行扩展,即插即用。此外,它可以快速帮助企业管理API服务,提高API服务的稳定性和安全性。
Go
22
0

旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1.01 K
396

本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
407
387

React Native鸿蒙化仓库
C++
199
279

喝着茶写代码!最易用的自托管一站式代码托管平台,包含Git托管,代码审查,团队协作,软件包和CI/CD。
Go
17
0