SecretsストアCSIドライバー@Secretアドオン¶
はじめに¶
本サイトにつきまして、以下をご認識のほど宜しくお願いいたします。
01. SecretsストアCSIドライバーの仕組み¶
アーキテクチャ¶
SecretsストアCSIドライバーは、CSIドライバーから構成される。
CSIドライバー¶
▼ CSIドライバーとは¶
CSIドライバーは、SecretProviderClassで定義されたプロバイダー (例:AWS、Google Cloud、Vault) のAPIと通信し、プロバイダーのSecretストア (例:AWS SecretManager、Google Cloud SecretManager、Vault SecretsEngine) から変数を取得する。
その後、Secretは使用せずにPod内コンテナのファイルとしてマウントする。
Secretのデータとして注入するExternalSecretsOperatorやhelm-secrets/vault-helmと比較して、Secretを作成しない点で脆弱性が高い。
一方で、Pod内コンテナに直接的にマウントするため、Kubernetesとプロバイダーがより密結合になってしまう。