kubernetes-vault 초기화 컨테이너가 컨트롤러에서 제공 한 비밀 ID를 풀어야하는 이유는 무엇입니까?

Question

그림에서 kubernetes-vault repo를 보면 초기화 컨테이너가 래핑 된 secret_id을 가져오고 Vault를 통해 secret_id 토큰을 사용 해제하고 교환한다는 것을 알 수 있습니다. kubernetes-vault 컨트롤러가이 래핑 해제 및 상환을 수행하지 않고 토큰을 init 컨테이너로 전송하는 이유는 무엇입니까?

https://github.com/Boostport/kubernetes-vault/raw/master/flow-diagram.png

Answer 1

참고 : kubernetes-vault 프로젝트 내 회사에 의해 유지되는 오픈 소스 프로젝트입니다.

• 만 초기화 용기는 최종 비밀을 볼 수있는 포드 :

  초기화 컨테이너가 비밀을 펼쳤다 이유는 2 배입니다. 즉, kubernetes-vault 컨트롤러는 토큰이 무엇인지 알지 못하고 손상되었을 경우 악의적 인 목적으로 사용할 수 없습니다.

• 누군가가 랩핑 된 토큰을 가로 채고 랩핑을 풀면 init 컨테이너가 토큰을 풀 수 없으며 이는 클러스터가 손상되었다는 좋은 신호입니다. 랩핑되지 않은 토큰이 init 컨테이너로 보내지면 인터셉트 될 수 있으며이를 경고 할 수 없습니다.