在Solo.io Gloo中使用AWS IRSA实现Vault密钥安全存储

前言

在现代云原生架构中，密钥管理是保障应用安全的重要环节。本文将详细介绍如何在Solo.io Gloo网关中，通过AWS IAM Roles for Service Accounts (IRSA)机制，实现与Hashicorp Vault的安全集成，从而优雅地解决密钥管理问题。

核心概念解析

AWS IRSA机制

AWS IRSA允许将IAM角色直接关联到Kubernetes服务账户，使Pod能够自动获取并使用临时AWS凭证。相比传统长期凭证，这种方式具有以下优势：

• 自动轮换凭证，提高安全性
• 细粒度的权限控制
• 无需在代码或配置中硬编码凭证

Vault与AWS集成原理

Vault支持通过AWS IAM角色进行身份验证，验证流程如下：

1. Pod通过IRSA获取临时AWS凭证
2. 使用这些凭证向Vault进行身份验证
3. Vault验证IAM角色后颁发访问令牌
4. Gloo使用令牌访问存储在Vault中的密钥

实施步骤详解

第一阶段：AWS环境准备

1. 创建带OIDC的EKS集群

# 设置环境变量
export NAMESPACE=gloo-system
export CLUSTER_NAME=<your-cluster-name>
export AWS_REGION=<your-region>
export ACCOUNT_ID=$(aws sts get-caller-identity --query "Account" --output text)

# 关联OIDC提供商
eksctl utils associate-iam-oidc-provider --cluster ${CLUSTER_NAME} --approve

# 获取OIDC提供商信息
export OIDC_PROVIDER=$(aws eks describe-cluster --name ${CLUSTER_NAME} \
  --region ${AWS_REGION} --query "cluster.identity.oidc.issuer" \
  --output text | sed -e "s/^https:\/\///")

2. 创建IAM角色

创建信任关系文件trust-relationship.json：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::${ACCOUNT_ID}:oidc-provider/${OIDC_PROVIDER}"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEqualsIfExists": {
          "${OIDC_PROVIDER}:aud": "sts.amazonaws.com",
          "${OIDC_PROVIDER}:sub": [
            "system:serviceaccount:${NAMESPACE}:gloo",
            "system:serviceaccount:${NAMESPACE}:discovery"
          ]
        }
      }
    }
  ]
}

创建角色并获取ARN：

export VAULT_AUTH_ROLE_NAME="dev-role-iam-${CLUSTER_NAME}"
export VAULT_AUTH_ROLE_ARN=$(aws iam create-role \
  --role-name $VAULT_AUTH_ROLE_NAME \
  --assume-role-policy-document file://trust-relationship.json \
  --description "Vault auth role" | jq -r .Role.Arn)

3. 创建并附加IAM策略

创建策略文件gloo-vault-auth-policy.json：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Action": [
        "iam:GetInstanceProfile",
        "ec2:DescribeInstances",
        "iam:GetUser",
        "iam:GetRole"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": ["sts:AssumeRole"],
      "Resource": ["${VAULT_AUTH_ROLE_ARN}"]
    }
  ]
}

创建策略并附加到角色：

export VAULT_AUTH_POLICY_NAME=gloo-vault-auth-policy-${CLUSTER_NAME}
export VAULT_AUTH_POLICY_ARN=$(aws iam create-policy \
  --region=${AWS_REGION} \
  --policy-name="${VAULT_AUTH_POLICY_NAME}" \
  --description="Policy for Vault authentication" \
  --policy-document file://gloo-vault-auth-policy.json | jq -r .Policy.Arn)

aws iam attach-role-policy \
  --role-name=${VAULT_AUTH_ROLE_NAME} \
  --policy-arn=${VAULT_AUTH_POLICY_ARN}

第二阶段：Vault配置

1. 部署Vault服务

使用Helm快速部署开发模式Vault：

helm repo add hashicorp https://helm.releases.hashicorp.com
helm install vault hashicorp/vault \
  --set "server.dev.enabled=true" \
  --namespace vault \
  --create-namespace

验证Vault状态：

kubectl exec -n vault vault-0 -- vault status

2. 初始化Vault

进入Vault Pod执行初始化：

kubectl exec -n vault -it vault-0 -- sh

# 启用AWS认证
vault auth enable aws

# 启用KV存储引擎
vault secrets enable -path="dev" -version=2 kv

# 创建策略文件
cat <<EOF > policy.hcl
path "dev/*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}
path "dev/" {
  capabilities = ["list"]
}
path "sys/mounts" {
  capabilities = ["read", "list"]
}
EOF

# 应用策略
vault policy write dev policy.hcl
exit

3. 配置AWS认证

export IAM_SERVER_ID_HEADER_VALUE=vault.gloo.example.com
kubectl -n vault exec vault-0 -- vault write auth/aws/config/client \
  iam_server_id_header_value=${IAM_SERVER_ID_HEADER_VALUE} \
  sts_endpoint=https://sts.${AWS_REGION}.amazonaws.com \
  sts_region=${AWS_REGION}

4. 绑定Vault策略与IAM角色

kubectl -n vault exec vault-0 -- vault write auth/aws/role/${VAULT_AUTH_ROLE_NAME} \
  auth_type=iam \
  bound_iam_principal_arn="${VAULT_AUTH_ROLE_ARN}" \
  policies=dev \
  max_ttl=15m

第三阶段：Gloo网关集成

1. 准备Helm配置

创建helm-overrides.yaml文件：

settings:
  secretOptions:
    sources:
      - vault:
          address: ${VAULT_ADDRESS}
          aws:
            iamServerIdHeader: ${IAM_SERVER_ID_HEADER_VALUE}
            mountPath: aws
            region: ${AWS_REGION}
          pathPrefix: dev
      - kubernetes: {}
gloo:
  serviceAccount:
    extraAnnotations: 
      eks.amazonaws.com/role-arn: ${VAULT_AUTH_ROLE_ARN}
discovery:
  serviceAccount:
    extraAnnotations:
      eks.amazonaws.com/role-arn: ${VAULT_AUTH_ROLE_ARN}

2. 安装Gloo网关

helm install gloo gloo/gloo \
  --namespace gloo-system \
  --create-namespace \
  --values helm-overrides.yaml

安全最佳实践

1. 最小权限原则：仅授予必要的Vault访问权限
2. 临时凭证：设置较短的TTL（如15分钟）
3. 网络隔离：确保Vault服务仅在内部网络可访问
4. 审计日志：启用Vault审计日志记录所有访问
5. 定期轮换：定期轮换IAM角色和策略

常见问题排查

权限不足错误

若遇到iam:GetRole权限错误，需创建附加策略：

export VAULT_ASSUMED_ROLE=<your-assumed-role>
export VAULT_AUTH_GET_ROLE_POLICY_NAME=gloo-vault-auth-get-role-policy-${CLUSTER_NAME}

cat <<EOF > gloo-vault-auth-policy-get-role.json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["iam:GetRole"],
      "Resource": ["${VAULT_AUTH_ROLE_ARN}"]
    }
  ]
}
EOF

aws iam create-policy \
  --policy-name="${VAULT_AUTH_GET_ROLE_POLICY_NAME}" \
  --policy-document file://gloo-vault-auth-policy-get-role.json

aws iam attach-role-policy \
  --role-name ${VAULT_ASSUMED_ROLE} \
  --policy-arn=${VAULT_AUTH_POLICY_ASSUME_ROLE_ARN}

总结

通过本文的配置，我们实现了：

1. Gloo网关通过IRSA自动获取临时AWS凭证
2. 使用这些凭证安全地访问Vault中的密钥
3. 完全避免了硬编码凭证的安全风险
4. 实现了自动化的密钥轮换机制

这种集成方式不仅提高了安全性，还简化了密钥管理工作流程，是生产环境中推荐的密钥管理方案。