为了使卡巴斯基容器安全与 HashiCorp Vault 配合使用,您必须在 values.yaml 配置文件中指定以下配置设置的值:
enabled 标志可启用与存储的集成。vault.enabled = true 值表示与 HashiCorp Vault 的集成已建立;环境变量的值从存储中获取。默认值为 false。mountPath — 将 Secret 从保管库挂载到 Pod 的路径。默认值为 /vault/secrets。role 是在存储中用于身份验证的角色。
在保管库中创建角色时,您需要从 values.yaml 文件中的 serviceAccount 部分指定所有现有值。
agentInitFirst — 用于定义初始化容器的初始化队列的变量。值为 true 表示 Pod 首先初始化 Vault init 容器。当初始化中的其他容器需要预填充的 Secret 才能运行时,必须设置此值。如果它被设置为 false,则容器的初始化顺序随机。默认值为 true。agentPrePopulate — 用于在容器启动之前启用初始化容器并使用 Secret 预先填充共享内存的变量。默认值为 true。agentPrePopulateOnly — 指示 init 容器是否将是被注入 Pod 中的唯一容器的变量。如果设置为true ,则运行 Pod 时不会添加 边车容器。默认值为 false。preserveSecretCase — 创建秘密文件时,用于保留 Secret 名称的大小写的变量。默认值为 true。agentInjectPerms — 定义使用存储中的 Secret 访问已挂载文件的权限的变量。默认值为0440(所有者和组具有读取权限)。annotations — 配置正确操作边车容器的指令。您可以向 vault 块添加指令,以供所有 Helm Chart 组件使用,或者在 Architecture 部分为每个组件单独指定它们,例如:
kcs-middleware:
enabled: true
appType: deployment
annotations:
vault.hashicorp.com/agent-limits-cpu: 200m