hashicorp-vault - Hashicorp Vault 代理注入(inject)器 : base64 decoding secrets using '' agent-inject-command' annotation

Question

我将一个 Base64 编码的信任库文件注入(inject)到我的容器中，然后使用“agent-inject-command”注释尝试解码 key 并将其写入文件。这是我的 k8s list 的片段:

vault.hashicorp.com/agent-inject-secret-truststore-jks: "secret/directory/truststore_jks"
vault.hashicorp.com/agent-inject-file-truststore-jks: b64.truststore.jks
vault.hashicorp.com/secret-volume-path-truststore-jks: /home
vault.hashicorp.com/agent-inject-command-truststore-jks-truststore-jks: /bin/bash -c "base64 -d /home/b64.truststore.jks > /home/truststore.jks"

结果是编码版本被注入(inject)到文件中，但命令没有成功运行，因此容器中不存在解码版本。

我已经能够使用此方法(以及其他一些命令)单独运行 base64 -d 命令，但问题仅在重定向或链接命令时出现。

任何有关执行此操作的正确方法或达到相同目标的替代方法的见解将不胜感激。

Answer 1

使用Vault Agent Templates找到了替代方法，特别是 Consul Templating 中的 base64Decode 函数引擎。

用于注入(inject)解码后的 secret 的相关配置如下:

vault.hashicorp.com/agent-inject-secret-truststore-jks: "secret/path/to/secret/truststore_jks"
vault.hashicorp.com/agent-inject-file-truststore-jks: truststore.jks
vault.hashicorp.com/secret-volume-path-truststore-jks: /home
vault.hashicorp.com/agent-inject-template-truststore-jks: |
  {{- with secret "secret/path/to/secret" -}}
  {{ base64Decode .Data.data.truststore_jks }}
  {{-  end }}