卡巴斯基容器安全

HashiCorp Vault 存储设置：

为了使卡巴斯基容器安全与 HashiCorp Vault 配合使用，您必须在 values.yaml 配置文件中指定以下配置设置的值：

• enabled 标志可启用与存储的集成。vault.enabled = true 值表示与 HashiCorp Vault 的集成已建立；环境变量的值从存储中获取。默认值为 false。
• mountPath — 将 Secret 从保管库挂载到 Pod 的路径。默认值为 /vault/secrets。
• role 是在存储中用于身份验证的角色。

  在保管库中创建角色时，您需要从 values.yaml 文件中的 serviceAccount 部分指定所有现有值。

• agentInitFirst — 用于定义初始化容器的初始化队列的变量。值为 true 表示 Pod 首先初始化 Vault init 容器。当初始化中的其他容器需要预填充的 Secret 才能运行时，必须设置此值。如果它被设置为 false，则容器的初始化顺序随机。默认值为 true。
• agentPrePopulate — 用于在容器启动之前启用初始化容器并使用 Secret 预先填充共享内存的变量。默认值为 true。
• agentPrePopulateOnly — 指示 init 容器是否将是被注入 Pod 中的唯一容器的变量。如果设置为true ，则运行 Pod 时不会添加 边车容器。默认值为 false。
• preserveSecretCase — 创建秘密文件时，用于保留 Secret 名称的大小写的变量。默认值为 true。
• agentInjectPerms — 定义使用存储中的 Secret 访问已挂载文件的权限的变量。默认值为0440（所有者和组具有读取权限）。
• annotations — 配置正确操作边车容器的指令。您可以向 vault 块添加指令，以供所有 Helm Chart 组件使用，或者在 Architecture 部分为每个组件单独指定它们，例如：

  kcs-middleware:

  enabled: true

  appType: deployment

  annotations:

  vault.hashicorp.com/agent-limits-cpu: 200m