はじめに
Kubernetes/OpenShiftにおけるアプリケーション運用の高度化において「GitOps」は避けては通れません。しかし、GitOpsとSecret管理の両立には課題があります。Manifest群をGit Repositoryで管理する上で「Secretどうする」問題が付き物です。
というのも、Secretは機密情報を管理するためのK8sリソースですが、機密情報にあたる値はbase64エンコードされているだけなので誰でもデコードできちゃいます。つまり、公開Repositoryなんぞにアップしたら、それは平文のまま置いているのと同じです...
Hashicorp Vaultを使おう
K8s Secretに限らず、あらゆる機密情報管理ソリューションとして広く使われているのが「Hashicorp Vault (以下Vault)」です。Kubernetesとの連携もばっちりで、特定のNameSpaceの特定のSercvice Accountに対して認証認可を経て適切なSecret操作権限(read, create, delete 等々)を付与してくれます。
2023年3月に公開された「Vault Secret Operator (以下VSO)」によって、大変に使い勝手がよくなりました。
要はこういうことが実現したい
実現したいことを絵に描いてみました。
Manifest.yamlをSingle Source of TruthとしてGitOpsを実現するのと全く同じ雰囲気で、Vaultに唯一無二の真実のSecret情報(Single "Secret" of Truth)を格納し、その更新をK8s/OpenSshift Clusterに自動的に反映させたいのです。また、PodやDeployment等のManifestに対しては、なんらかの工夫や特別な記載をしたくもないのです。
まさにこうしたことがVSOでは実現可能です!
余談(興味なければ読まずにOK)
- VSO登場前は主に2通りの方法でManifest/KubernetesにSecret情報を参照させていたのですが、ぶっちゃけ初心者の私にはしんどかった印象です...
-
Vault Agent方式: Secretを参照させたいユーザワークロード(Mysql 等)のコンテナに
init Container、あるいはSidecarとしてAgentを仕込み、AgentがVaultからSecret情報を取得、Pod内の共有メモリに展開する格好でユーザワークロードコンテナにSecret情報をシェアする。Sidecar方式を使えば、Vault上のSecret情報の更新をPodに反映できる。 -
Vault CSI Provider方式:
CSI Driverを応用したSecret Store CSI Driverという仕組みによって、PodにVolumeをマウント、そのVolumeにファイルとしてのSecret情報を格納することで、Pod/ContainerがSecret情報を参照できる方式。K8s ClusterにSecret.yamlが作られるわけではない。Vault上のSecret情報の更新はDeploy済みのPodに反映できない。
-
Vault Agent方式: Secretを参照させたいユーザワークロード(Mysql 等)のコンテナに
- 各方式の詳細やメリデメはHashicorp Vaultの公式サイトをご覧ください。
さっそくOpenShiftで試していきます〜!環境情報は以下。
- Red Hat OpenShift Services on AWS (v4.15.0)
- 特段環境差分は関係ないはずです。
OpenShiftにVaultをDeployする
実はVaultをSetupしてから使えるようになるまでは、それなりにStepが必要です。以下に記載した流れでやっていきます。
- VaultをDeployする為のNameSpaceを作成
- Helm ChartからDeploy
- Route公開
- Initialize
- Kubernetesと接続(Authentication)
- Secret Engine作成(Key-Value)
VaultをDeployする為のNameSpaceを作成
適当なNamespaceを作って(vaultとしました)ください。
oc new-project vault
できました。
Helm ChartからDeploy
VaultはHelm Chartを公開しておりますので、そちらを使います。
「追加」のリンクをクリックして、
「Helmチャート」をクリックして、
「vault」と検索して出てきたHelmチャートをクリックして、
「作成」をクリックして、
次も「作成」をクリックしてください。
すると、トポロジー画面に遷移して、2つのリソースがDeployされます。
-
vault:StatefulSetとしてDeployされます。これがVault本体です。 -
vault-agent-injector: こちらはAgent方式の際にInit ContainerやSeidecarを仕込む動作をするDeploymentです。SVO方式では不要です。
Vaultは2つのPortでそれぞれにServiceが付いていますが、デフォルトだとRouteは存在しません。
なので、RouteをくっつけてInternetからアクセスできるようにします。
Route公開
管理者向け表示の「ネットワーク」 → 「Route」と進んで、「Routeの作成」をクリック、
名前は適当なものをご自由にどうぞ。自分はroute-vaultとしました。
Serviceは「vault」を選択、TargetPortは「8200 → 8200」を選びます。
これで「作成」をクリック。再び「開発者向け表示」の「トポロジー」画面に戻ります。
Routeが付きました。これでInternetからVaultのコンソール画面にアクセス可能になりました。
Initialize
Vaultはインストール直後はSealed(暗号化)されており使えません。そのため、Unseal(暗号化解除)の作業が必要です。この作業は初回のみ必要です。ただしVaultコンテナが停止したり、再作成された場合は再度Useal作業が必要になります。
早速RouteのURLをクリックしてVaultのコンソール画面にいきましょう。
こんな画面が出て「え...?」ってなりますよね。
-
Key Shares: Unsealする為に必要なそれぞれユニークなKeyをいくつ払い出すか?を指定できます。 -
Key threshold: 「払出したKeyをいくつ使わないとUnsealできないか」を指定できます。
つまり、「ユニークなKey5つのうち、3つを使わないとUnsealできないようにする」みたいな感じです。
ちょっとやってみましょう。
それぞれ5と3と入れてみて、「Initialize」をクリック。root tokenとkey5つが生成されました。これらは無くすと大変なので、厳密に管理してください。
※無くした場合は再度初期化が必要です。その場合、Vaultに登録されたSecret情報も消えます。
「Download keys」をクリックして.jsonファイルを入手、適切に管理してください。つぎに「Continue to Unseal」をクリックしますと、
こんな画面になります。「Unseal Key Portion」の欄に、Key Sharesで指定した値(先程は5を指定しました)だけ払い出されたKeyのうち、Key thresholdで指定した数(先程は3を指定しました)だけ選んでコピペして「Unseal」をクリックします。
やってみましょう。
右下に「1/3 keys provided」と出ています。1つめに選んだKey以外のもので同じことを2回繰り返すと、Unsealできます。
ログイン画面になります。
初期状態だとroot token以外でのログイン手段がありませんので、先程の.jsonファイルの中にあるroot tokenを使ってログインします。
やりました!これでVaultの初期設定は終了です!
次にKubernetenetes Clusterとの接続を行います。
Kubernetesと接続(Authentication)
TOP画面の左メニューから「Access」 → 「Authentication Methods」と進みます。
右上の「Enable new method」をクリックしてください。
「Kubernetes」を選んで、「Next」をクリックして、
「Enable Method」をクリック
接続先のKubernetesの情報を求められます。
「Kubernetes host」は、Kubernetes API(Cluster外からKubernetesを操作するための情報)のホスト情報を入れます。なお、今回はVaultはKubernetes Clusterの上で動いている為、内部ホスト名でアクセス可能です。
Kubernetes API Serverの内部ホストはhttps://kubernetes.default.svc.cluster.local:443です。
ROSAの場合外部ホスト名は「Red Hat Hybrid Cloud Console」から確認できます。「Control Plane API endpoint」の欄の値です。ただし今回は外部ホスト名は使いません。
内部ホスト名を入力して「Save」をクリック。
これにてKubernetes Clusterとの連携が可能となりました。
Secret Engine作成(Key-Value)
VaultはSecret Engineの中にSecret情報を管理します。今回は最も一般的なSecret EngineであるKey-Valueタイプのものを使います。
VaultのTOP画面の左メニューから「Secret Engines」をクリックして、右上の「Enable new engine」をクリックしてください。
「KV」を選択して、「Next」をクリックし、
「Path」に任意のSecret Engine Pathを設定します。今回はsecretにしてみました。
そのまま「Enable Engine」をクリックしてください。
secretという名のSecret Engine(KV-V2タイプ)ができました。
この中にSecretファイルを作りましょう!右上の「Create secret」をクリック!
(Secretがゲシュタルト崩壊しそう...)
「Path for this secret」でSecretファイルへのPathを設定する事ができます。
まずはtest/test-secretと入力し、SecretのKey,Valueに適当な値を入れてください。
これによって以下のようなSecretファイルをVault上に作成した事になります。
apiVersion: v1
kind: Secret
metadata:
name: mysql-secret
type: Opaque #特に型指定しない場合の一般的なSecretファイル形式です
Data:
hogehoge: ZnVnYWZ1Z2E= #fugafugaがBASE64エンコードされた文字列です
「Path」タブをクリックすると、今作ったSecretファイルのSecret Engine内におけるPathが確認できます。
すごいややこしいのですが、先ほど作成したSecretを参照するためのPath指定は、
- APIで指定する場合:
/version/secret/data/test/test-secret - CLIから指定する場合:
mount=Secret Engine名, Path=test/test-secret
となります。このPath情報は後ほどVault上でPolicyを作成したり、SVOから提供されるCustomResourceを作成する際に使いますので、頭の片隅に入れておいてください。
お疲れ様でした。これでOpenShift Clusterの中でVaultが使えるようになり、これからOpenShiftのNameSpaceに同期させたいSecretの準備もできました。では、Single "Secret" of Truthを実現させましょう!
Secret EngineとNameSpace内のSecretの同期を試す
今からやること(≒作成するリソース)を先に示します。
ざっくり2つの事をやっていきます。
まずはVault内でPolicyとRoleを作ります。
-
Policy: Secret Engine内のSecretに対する権限(CRUD 等)を定義したもの -
Role: どのNameSpaceのどのServiceAccountにpolicyを紐づけるのかを定義したもの
次に、Secretを同期したい宛先NameSpace内に「Vault Secret Operator(VSO)」が提供するCustomResouceを3つ作成します。
-
VaultConnection: Vaultとの接続情報を定義したもの -
VaultAuth: どの認証Methodを使って、どのSeviceAccoutからのアクセスを許可し、更にどのRoleを適用するのか?」を定義したもの。今回は認証Method(Authentication)として既にKubernetesを設定済みです。 -
VaultStaticSecret: VaultAuthを経て認証認可されたServiceAccountが、Vaultに格納されているどのSecret情報(Static)をどう取り扱うのか?を定義します。
がんばってやっていきましょう!
Policyを作成
Secret Engine名secretの中のtest/test-secretを閲覧のみ可能(ReadOnly)なポリシーを作成します。
なお、VaultのポリシールールはVault policiesが参考になります。
VaultのTOP画面から左メニューの「Plicies」をクリックして、右上の「Create ACL Policy」をクリックします。
「Name」はポリシー名ですので、なんらかわかり易いものを入れておきます。とりあえずtest-readonlyとしてみました。Vault policiesを参考にしながら作ります。今回は、先ほど作成したSecretの参照権限のみをもたせたPolicyを作成します。
path "secret/data/test/test-secret" {
capabilities = ["read"]
}
となります。Policy作成時のPathにはSecretの「API Path」を入れます。ちなみに、もし作成したSecret Engine内全てのSecretに参照権限を与えたい場合は
path "secret/*" {
capabilities = ["read"]
}
こんな感じでPathにワイルドカード表現を設定すればOKです。今回は明示的に対象のSecretファイルのみを指定しましたが、以下の挙動はどちらのPolicyでも同じです。
OKなら「Create policy」をクリックしてください。
次はRoleを作成します。
Roleを作成
再びVaultのTOP画面から「Access」 → 「Authentication Method」と進み、先程EnableしたMethodである「Kubernetes/」をクリックします。
今このAuthentication MethodにはRoleがありませんので、「Create role」をクリックしてください。
次の画面で、「どのNameSpaceのどのユーザアカウントにどういうポリシーを適用するのか?」を記載します。
まずは「Name」の所にお好きなRole名を入力します。
次に、「Bound service account names」には、NameSpaceに存在するServiceAccountを入力します。
なお、OpenShiftはNameSpaceを作成するといくつかのServiceAccountが勝手に作られます。
ちょっとOpenShiftのコンソール画面で「管理者向け表示」にして「ユーザー管理」 → 「ServiceAccounts」とクリックしてみてください。
NameSpace: test内に存在するServiceAccountの一覧が出てきます。特に、デフォルトで作られる、その名の通りdefaulというServiceAccountがありますので、こいつにSecretの閲覧権限を付与することにしましょう。
もちろん、なんらか任意のServiceAccountを作って、そいつに権限を付与しても良いです。とりあえず適当なRole名称を付けて、以下のように設定します。
- Name: test-role
- Bound service account names: default
- Bound service account namespaces: test
なお、NameSpaceはNameSpace名でも、同じSelector名をキーにして複数指定もできます。
まだ完成ではありません。Policyの指定をしましょう。「Tokens」というメニューを開くと、色々設定値が出てきます。「Generated Token's Policies」というところに、付与するPolicy名を指定します。
先程作成したtest-readonlyを入れます。Policyは複数指定することが可能です。
これで「Save」をクリックすればRoleができました。
Vault Secret OperatorをInstall
OpenShift ClusterにVSOをInstallしましょう。
先にVSOをInstallするためのNameSpaceを作成してください。(とりあえずvsoとしておきます)
oc new-project vso
Operator HubからInstall可能です。Installは一旦デフォルト設定のままで大丈夫です。
Installが完了すると、CustomResourceが作成可能になります。
CustomResourceを作成
あらためて今から作成するCustomResourceを振り返りましょう。
-
VaultConnection: Vaultとの接続情報を定義したもの -
VaultAuth: どの認証Methodを使って、どのSeviceAccoutからのアクセスを許可し、更にどのRoleを適用するのか?」を定義したもの。今回は認証Method(Authentication)として既にKubernetesを設定済みです。 -
VaultStaticSecret: VaultAuthを経て認証認可されたServiceAccountが、Vaultに格納されているどのSecret情報(Static)をどう取り扱うのか?を定義します。
先にNameSpace: testを作成しておいてください。
oc new-project test
空のProject画面を右クリックして、追加メニューから「Operator提供」をクリックしてください。
「vault」と検索すると、VSOが提供するCustomResource一覧がでてきます。ここから上述の3つのResourceを作成します。
VaultConnectionを作成
VaultConnectionを選択して作成します。あるいは以下のYAMLをapplyしてもOKです。
apiVersion: secrets.hashicorp.com/v1beta1
kind: VaultConnection
metadata:
name: vaultconnection-sample
namespace: test
spec:
skipTLSVerify: false
address: 'http://vault.vault.svc.cluster.local:8200'
spec.addressはVaultのアクセス先を設定します。元からhttp://vault.vault.svc.cluster.local:8200が入っているかと思いますが、これはCluster内部で名前解決できる内部URLになります。一応VaultのServiceを見ておきましょうか。
Cluster内でのみアクセス可能なホスト名としてvault.vault.svc.cluster.localが存在します。これにSchema: httpとPort: 8200をつければ、先程の内部URLになるわけです。もし別Clusterに存在するVaultであれば、Routeを指定する事になりますが、今回は同一Cluster内で完結した通信です。
VaultAuthを作成
VaultConnectionを作成した際と同様、あるいは以下のYAMLをapplyします。
apiVersion: secrets.hashicorp.com/v1beta1
kind: VaultAuth
metadata:
name: vaultauth-sample
namespace: test
spec:
kubernetes:
tokenExpirationSeconds: 600
role: test-role
#Vault上で作成したRoleを指定してください
serviceAccount: default
#Roleで指定しているServiceAccountと同じものを指定してください
vaultConnectionRef: vaultconnection-sample
#参照するVaultConnection名を指定します。先程作成したものです。
method: kubernetes
mount: kubernetes
#今回はKubernetesをAuthentication Methodに指定しているので、Kubernetesを設定
VaultStaticSecretを作成
同様にVaultStaticSecretを作成します。YAMLは以下です。
apiVersion: secrets.hashicorp.com/v1beta1
kind: VaultStaticSecret
metadata:
name: vaultstaticsecret-sample
namespace: test
spec:
hmacSecretData: true
destination:
create: true
#同名のSecretが存在しない場合は新規作成する設定
overwrite: true
#同名のSecretが存在する場合に更新する設定
name: test-secret
#作成するSecret名
vaultAuthRef: vaultauth-sample
#参照するVaultAuthを指定します
mount: secret
path: test/test-secret
#Vault上でSecretのPath情報を確認した場合にCLI pathとして示されるものを入れます
type: kv-v2
#Secret Engineのタイプです
refreshAfter: 5s
さて、これでやりたいことは全てできました。
Secret EngineにあるSecretがNameSpaceと同期されるか確認
まずはNameSpace: testの開発社向け表示の左メニュー「シークレット」から、NameSpaceにapplyされたSecretを見てみます。
あ!test-secretが存在します。クリックしてみます。
VaultStaticSecretによって管理されている事がわかります。Secretの中身もVault上で作成した
apiVersion: v1
kind: Secret
metadata:
name: mysql-secret
type: Opaque #特に型指定しない場合の一般的なSecretファイル形式です
Data:
hogehoge: ZnVnYWZ1Z2E= #fugafugaがBASE64エンコードされた文字列です
が同期されています。Vault上でSecretを編集してみます。適当にKey-Valueを追加してみて、
「Save」をクリックします。再びOpenShiftのConsoleを見てみてください。
即座にVault上で更新した内容がNameSpace内のSecretに反映されています。素晴らしい!
試しにVaultStaticSecretをNameSpaceから削除してみてください。「インストール済みのOperator」メニューからVSOを選択し、VSOが提供するCustomResource一覧から「VaultStaticSecretの削除」を選択します。
test-secret.yamlが消えてしまいました。
応用編: Secret更新を受けてDeploymentのRolloutを試す
ここからは少し応用編です。アプリケーションのDeployment内で参照するSecretの情報が変更された場合、それを反映してRolloutさせます。これでSecretの更新がアプリケーション自体にも自動で反映されるわけです。
Kubernetes DeploymentのRolloutについては以下を御覧ください。
https://kubernetes.io/ja/docs/concepts/workloads/controllers/deployment/#updating-a-deployment
Mysql(Ephemeral)をDeploy
サンプルのDeploymentとして、PVを利用しないEphemeralなMysqlをDeployしておきます。
適当なNameSpaceを作成し(私はmysql-ephemeralとしておきました)、以下のYAMLをoc applyしてください。
今回はSecretを先にClusterにapplyしてしまいます。
apiVersion: v1
kind: Secret
metadata:
name: mysql-ephemeral-secret
type: Opaque #特に型指定しない場合の一般的なSecretファイル形式です
stringData:
MYSQL_ROOT_PASSWORD: sousuke
#rootユーザのパスワードです
MYSQL_USER: gakenoueno
#user名です
MYSQL_PASSWORD: ponyo
#userのパスワードです
MYSQL_DATABASE: ghibli
#Deploy時に自動作成するDatabase名です
Red Hatが提供しているMysqlのContainer Imageに設定できる環境変数は以下をご参照ください
https://catalog.redhat.com/software/containers/rhel9/mysql-80/61a60915c17162a20c1c6a34?q=mys&architecture=amd64&image=6618250aa47a5279071a75a0
続いてDeploymentもapplyしてください。
apiVersion: apps/v1
kind: Deployment
metadata:
name: mysql-ephemeral
spec:
selector:
matchLabels:
app: mysql-ephemeral
strategy:
type: Recreate
template:
metadata:
labels:
app: mysql-ephemeral
spec:
containers:
- image: registry.redhat.io/rhel9/mysql-80 #RedHatが公開している安心安全なMysqlコンテナイメージです。Container Hostからのrootログインに限ってはPWレスでログイン可能。
name: mysql-ephemeral
envFrom: #別ファイルから環境変数を読み込む様に指定します
- secretRef: #Secretを参照するように指定します
name: mysql-ephemeral-secret #対象のSecretファイル名
ports:
- containerPort: 3306 #Mysqlのポート番号です
name: mysql-ephemeral
アプリケーションがDeployできました。mysql-ephemeral-secret.yamlで設定した環境変数が反映されているか確認しておきます。Pod名をクリックし、
Podの詳細画面の「ターミナル」タブからoc execしていきます。
Mysqlにuserでログインしてみます。
sh-5.1$ mysql -ugakenoueno -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
無事にログインできました。続いてDatabaseが作成されているかも見てみます。
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| ghibli |
| information_schema |
| performance_schema |
+--------------------+
3 rows in set (0.00 sec)
問題なくmysql-ephemeral-secret.yamlからアプリケーションに環境変数が引き渡されています。
Vault上でSecretを作成し、Policy&Roleを作成
二度手間になってしまいますが、同じSecretをSecret Engine(先ほど作ったkv-v2 typeのsecretという名称のそれ)に、Path名mysql/mysql-ephemeral-secretとして作成しておきます。以下の通りです。
前回同様の手順で同Secretに対する参照権限Policyを定義します。
path "secret/data/mysql/mysql-ephemeral-secret" {
capabilities = ["read"]
}
同じく前回同様の手順でRoleも作成してください。設定値は以下の通りです。
VSOから提供されるCustomResourcesを作成。
さて、また前回同様に3つのCustomResourceを作成します。NameSpace: mysql-ephemeral内に以下のYAMLをoc applyしていってください。中身がどうなっているのか、前回の内容を振り返りながら復習してみてください。
kind: VaultConnection
apiVersion: secrets.hashicorp.com/v1beta1
metadata:
name: vaultconnection-mysql-ephemeral
namespace: mysql-ephemeral
spec:
address: 'http://vault.vault.svc.cluster.local:8200'
kind: VaultAuth
apiVersion: secrets.hashicorp.com/v1beta1
metadata:
name: vaultauth-mysql-ephemeral
namespace: mysql-ephemeral
spec:
vaultConnectionRef: vaultconnection-mysql-ephemeral
method: kubernetes
mount: kubernetes
kubernetes:
role: mysql-ephemeral-role
serviceAccount: default
apiVersion: secrets.hashicorp.com/v1beta1
kind: VaultStaticSecret
metadata:
name: vaultstaticsecret-mysql-ephemeral
namespace: mysql-ephemeral
spec:
hmacSecretData: true
rolloutRestartTargets: #mysql-ephemeral-secretが更新された場合のRollout対象のResourceを設定します。
- name: mysql-ephemeral
kind: Deployment
destination:
create: true
overwrite: true
name: mysql-ephemeral-secret
vaultAuthRef: vaultauth-mysql-ephemeral
mount: secret
type: kv-v2
path: mysql/mysql-ephemeral-secret
refreshAfter: 5s
VaultStaticSecretに前回は無かった行が増えていますね。spec.rolloutRestartTargetsにRollout対象のResourceを設定する事ができます。なおkindはDepoyment, DemonSet, StatefulSetの3種類が選択可能です。
VaultStaticSecret作成画面の「フォームビュー」でGUIからもrolloutRestartTargetsは設定可能です。
全てのYAMLをapplyすると、Vault上とNameSpace: mysql-ephemeralのSecretが同期されます。
Vault上のSecretを変更してRolloutがかかるか試す
Vault上で作成したmysql-ephemeral-secretをお好きな様に変更してみてください。
「Save」をクリックすると、直ぐ様NameSpace: mysql-ephemeralのSecretも更新されます。ここまでは前回と全く同じ挙動です。
OpenShiftのConsole画面で、開発者向け表示「トポロジー」メニューに切り替え、Deployment: mysql-ephemeralの詳細画面で「イベント」タブを見てみます。何やら自動的にPodが再作成されています。つまりRolloutしたということです!
再作成されたPodの詳細画面で「ターミナル」タブから、先ほどと同様にoc execして、user情報やDatabase情報の変更が反映されているか見てみます。
sh-5.1$ mysql -uneongenesis -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| color |
| information_schema |
| performance_schema |
+--------------------+
3 rows in set (0.00 sec)
rolloutRestartTargetsの設定を行うことで、Vault上のSecretの更新がVaultStaticSecretを介して、OpenShiftにDeployされたアプリケーションに自動的に反映されることが確認できました。
おわりに
VaultSecretOperatorを使ってSingle "Secret" of Truthが簡単に実現できる事がわかりました。今回はROSA(AWSのManaged ServiceとしてのOpenShift)で試しましたが、VaultはOpenShift Cluster内で動かすことができますので、同じことはオンプレミスのOpenShiftでも可能です。GitOpsを推進する上でぶち当たる「Secretどうする問題」に対する、ひとつの解決策としてVaultはとても役に立ちそうです。