准确的电话号码和 WhatsApp 号码提供商。 如果您想要电子邮件营销活动列表或短信营销活动,那么您可以联系我们的团队。 电报: @latestdbs

我们正在上构建一个功能丰富的平

台即服务,称为Pipeline。通过Pipeline ,我们在所有主要云提供商(例如AWS、GCP、Azure 和 BYOC)上配置大型多租户 Kubernetes 集群,并将各种预定义或临时工作负载部署到这些集群。当我们需要一种方式让用户登录并与受保护的端点交互,同时提供动态机密管理支持,同时为所有应用程序提供Kubernetes 支持时,我们转向了 Vault。 native 安全系列: 使用 用 Vault 和 Pipeline 进行动 使用 Vault 和进行安全部署 使用 Pipeline 在 K8s 上实施策略 Vault 瑞士军刀t 使用 KMS 解封流程 使用 Pipeline 进行 Kubernetes 秘密管理 使用 Pipeline 进行容器漏洞扫描 Kubernetes API 代理使用 Pipeline 在这篇博文中,我们将探讨我们支持的众多工作流程之一:使用 OAuth2 令牌通过 GitHub 进行身份验证、组织映射到 Vault 团队以及属于该组织的云实例中的无缝 SSH。

云实例/虚拟机是通过AppRole连接

到 Vault并签署主机密钥而形成的。这样,我们既不必与最终用户交换密钥,也不必担心手动管理或撤销密钥,所有这些都是由Pipel动执行并由Vault保护。 trusted VaultSSH1 以下所有操作均由Pipeline自动执行,因此,对于 Pipeline 启动的集群/控制平原,不一定需要执行这些步骤。 动态 SSH 凭证 一旦我们在云端或本地配置了 Kubernetes  比利时 WhatsApp 号码列表 集群,我们的客户通常需要访问主机,因此我们需要一种非常动态的分发访问方法。对于我们和我们的客户来说,访问这些集群的静态 SSH 密钥(特别是它们不能被动态撤销)不是一个选择。为此,我们决定使用 Vault 的 SSH Secret 后端,它可以进行动态客户端密钥签名和主机密钥签名来访问我们的远程虚拟机。

要求: 在您的基础设施内部

可访问的工作 Vault 服务器(由Pipeline自动执行) GitHub 组织(也可以是 GitHub Enterprise,但本演示使用公共版本) 虚拟机(以下示例基于Ubuntu) 您计  算机上的 SSH 密钥对 客户端密钥签名 通过此方法,用户使用存储在 Vault 中的 CA 密钥签署他/她的 SSH 公钥(请求证书)。目标计算机必须配置为信任使用此密钥签名的用户。这也是由Pipeline BQB 目录 实现自动化的。 行政步骤 首先,您必须以管理员身份登录 Vault:这意味着您无法确认您通过 SSH 连接的计算机是您可以信任的计算机。通过额外的配置机制,并在 Vault 的帮助下,您可以确保这些虚拟机从一开始就受到信任。这降低了用户意外通过 SSH 连接到非托管或恶意计算机的可能性。 

Leave a comment

Your email address will not be published. Required fields are marked *