我们很高兴宣布将HashiCorp Vault与Kubernetes深度集成的多个特性。这篇文章将分享将在未来几个月发布的一系列功能。最初的路线图将侧重于允许知识有限或一无所知的用户使用秘密管理功能的功能，包括存储和访问机密，而无需额外定制。我们的目标是为您提供各种各样的选项，让您可以利用Vault和Kubernetes将机密安全地引入到您的应用程序堆栈中。我们这样做是因为每个选项都有一系列的安全性和实现细节，比如将机密注入pod、秘密同步等。因此，我们想给您几个选项，从中选择最适合您的应用程序和用例。»用金库和库伯内特斯接近安全与Vault交互的最安全的方法是应用程序直接与Vault API集成。在Kubernetes中，这意味着应用程序使用Kubernetes服务帐户向Vault进行身份验证。但是，这需要使用Vault感知来编写或重写应用程序，这对于许多工作负载来说并不现实。我们在下面宣布的特性可以在Kubernetes的上下文中更自动地访问机密。这些特性中的一些需要更加小心地保护Kubernetes本身，或者接受通过Kubernetes复制机密的风险窗口。»特征以下是未来几个月正在开发和发布的特性列表。后续的公告博客文章将详细介绍每一篇文章，并且每个条目都将更新以链接到该公告帖子。Helm Chart：通过使用Helm Chart，您可以大大降低在Kubernetes上运行Vault的复杂性，并且它可以让您在更短的时间内完成一个可重复的部署过程。helmchart支持在Kubernetes上以四种不同的模式安装开源或企业保险库：开发模式、独立模式、高可用性（HA）或外部模式。运行企业版时，我们还提供性能和恢复群集选项。要了解更多信息，请访问我们的文档。用于Kubernetes的保险库代理侧车注入器：为了使没有内置本机保险库逻辑的应用程序能够访问保险库机密，此功能将允许自动将机密注入pod文件系统，以获取静态和动态机密。这将允许应用程序只关心在文件系统路径上查找机密，而不必管理身份验证令牌和其他与保险库直接交互的机制。这项功能将作为一个选项，通过我们的头盔图表。这个特性已经发布，并且支持通过init和sidecar容器进行秘密注入。OpenShift上的Vault（beta特性）：已经通过Helm图表添加了对运行Vault和OpenShift上的保险库代理注入器的支持。要了解更多信息，请访问我们的文档。»请求反馈我们很高兴与社区讨论一些特性想法，以收集反馈，为用例建立支持，并为以下内容开发未来版本：同步过程：我们正在探索通过同步过程将Vault与Kubernetes Secrets机制集成的用例。此同步器可用于定期将保险库机密的子集与Kubernetes同步，以便用户在不直接与保险库交互的情况下始终更新机密。如果您想对此功能提供反馈，请对此GitHub问题发表评论。容器存储接口（CSI）插件：与保险库侧车功能（上面讨论过）类似，CSI特性将在pod内的卷上公开机密。这将允许使用CSI插件将秘密注入运行中的pod。如果您想对此功能提供反馈，请对此GitHub问题发表评论。如果您对Kubernetes、我们的工具以及改进这些集成感兴趣，请加入我们！我们为生态系统工程师和产品经理在Kubernetes集成方面提供了一些职位。