シークレットストレージの構成

項目一覧

サポートされているシークレットストレージツール

保存できるシークレット
制限
シークレットストレージツールを設定する
次のステップ

Kubernetes Operator のシークレットストレージツールを選択できます。シークレットストレージツールは、Kubernetes Operator が管理するコンポーネントの機密情報を保存する安全な場所です。これには、 MongoDBデータベース、 MongoDB Ops Manager 、 AppDB のシークレットが含まれます。

シークレットストレージを構成すると、Kubernetes Operator はツールにアクセスしてシークレットを取得し、それらを使用して接続を安全に確立します。

サポートされているシークレットストレージツール

Kubernetes Operator は次のシークレットストレージツールをサポートしています。

Kubernetes : 機密情報をシークレットとして保存します（ Kubernetesの組み込みシークレットストレージ）。Kubernetes secrets は認証資格情報を保存し、 Kubernetesのみがアクセスできるようにします。
HashiCorp Vault : 秘密管理用のサードパーティサービスである Vault に機密情報を保存する。

保存できるシークレット

MongoDB Enterprise Kubernetes Operator のドキュメントに含まれる任意のシークレットには、サポートされている任意のシークレットストレージツールを使用できます。ただし、制限に記載されているものは除きます。

重要

構成後、Kubernetes Operator は、制限にリストされているシークレットを 除くすべての シークレットに対して選択したシークレットストレージツールを使用します。シークレットストレージツールを混在させることはできません。

制限

サポートされているシークレットストレージツールには、次の制限があります。

OpenShift などの一部のレジストリでは、リポジトリからイメージをプルするには imagePullSecretsが必要です。 Kubernetes 演算子は、 HashiCorp Vault からのimagePullSecrets を提供できません。kubernetes イメージ認証情報プロバイダーを指定できますでは、代わりに Kubernetes を使用してコンテナイメージレジストリの認証情報を取得します。

シークレットストレージツールを設定する

シークレットストレージツールを設定するには、次のいずれかのオプションを選択します。

この MongoDB Enterprise Kubernetes Operator ドキュメントのすべてのチュートリアルでは、Kubernetes シークレットが使用されていますデフォルトでは。Kubernetes secrets を使用するには Kubernetes Operator のシークレットを保存するには、Kubernetes Operator のインストールに進み、チュートリアルの手順に従います。

HashiCorp Vault を使用するには Kubernetes Operator のシークレットを保存するには、次の手順を実行します。

前提条件

始める前に、以下の操作を行う必要があります。

Vault インスタンスを設定します。 Kubernetes Operator が実行されている Kubernetes クラスターは、Vault インスタンスへのアクセス権を持つ必要があります。
注意
Vault が開発モードで実行されて いない ことを確認するかつ、Vault インストールが該当する構成の推奨事項に従っていることを確認してください。
Kubernetes 認証の有効化（Vault インスタンスの場合）。これにより、Vault で認証できるようになります。
Vault Agent のサイドカーインジェクションを配置する（Kubernetes クラスター内）。これにより、Vault から Kubernetes ポッドにシークレットを挿入できるようになります。
4 つの Vault ポリシーファイルをダウンロードKubernetes Operator、MongoDB database、MongoDB Ops Manager 、および AppDB の。
ロールを作成する Vaultmongodbenterprise にあるという名前の。Kubernetes Operator でのシークレットの構成は、このロールの存在とその正確な名前に依存します。

手順

Kubernetes Operator ポリシーとそのコンポーネントの Vault を追加します。

次のコマンドを使用して、 Kubernetes Operator、 MongoDB database、 MongoDB Ops Manager 、および AppDB リソースのポリシーを Vault に書き込み、変数を表内の値に置き換えます。

プレースホルダー	説明
{PolicyName}	Vault で作成しているポリシーを識別する、人間に判読可能なラベル。
{PathToPolicyFile}	ダウンロードしたポリシーファイルへの絶対パス。

vault policy write {PolicyName} {PathToPolicyFile}

Vault に追加するすべてのリソースに対して、コマンドを繰り返します。

Kubernetes Operator とそのコンポーネントの Vault ポリシーに Vault ロールをバインドします。

次の 4 つのコマンドを使用して、 Kubernetes Operator、 MongoDB database、 MongoDB Ops Manager 、および AppDB リソースのポリシーに Vault ロールをバインドし、変数を表内の値に置き換えます。

プレースホルダー	説明
{OperatorPolicyName}	Vault 内の Kubernetes Operator ポリシーを識別する、人間が判読可能なラベル。
{DatabasePolicyName}	Vault 内の MongoDB database ポリシーを識別する、人間が判読可能なラベル。
{Ops ManagerPolicyName}	Vault 内のMongoDB Ops Managerポリシーを識別する、人間が判読可能なラベル。
{AppDBPolicyName}	Vault 内の AppDB ポリシーを識別する、人間が判読可能なラベル。
{ServiceAccountNamespace}	ポッドにバインドされたサービスアカウントの名前空間を識別するラベル。

vault write auth/kubernetes/role/{OperatorPolicyName}
bound_service_account_names=enterprise-operator bound_service_account_namespaces={ServiceAccountNamespace}

vault write auth/kubernetes/role/{DatabasePolicyName}
bound_service_account_names=mongodb-enterprise-database-pods bound_service_account_namespaces={ServiceAccountNamespace}

vault write auth/kubernetes/role/{OpsManagerPolicyName}
bound_service_account_names=mongodb-enterprise-ops-manager bound_service_account_namespaces={ServiceAccountNamespace}

vault write auth/kubernetes/role/{AppDBPolicyName}
bound_service_account_names=mongodb-enterprise-appdb bound_service_account_namespaces={ServiceAccountNamespace}

これらのコマンドは、各コンポーネントのポッドがポリシーで指定されたアクセスのみを持つことを可能にします。

注意

この手順により、Kubernetes Operator に Vault へのアクセスが許可されます。 Kubernetes Operator が管理しないアプリケーションで Vault を使用するには、それらのアプリケーションの Vault ポリシーを作成してバインドする必要があります。

この手順のコマンドを調整して、サービスアカウントの名前を置き換えることで、他のポリシーをバインドできます。Vault を使用するように他のアプリケーションを構成するには、次のコマンドの {ServiceAccountName} を、アプリケーションのポッドに使用されるサービスアカウントに置き換えます。

vault write auth/kubernetes/role/{PolicyName}
bound_service_account_names={ServiceAccountName} bound_service_account_namespaces={ServiceAccountNamespace}

Kubernetes 配置ファイルに注釈を追加します。

このステップのコマンドを実行する前に、Vault ロールが作成されていることを確認してください名前はmongodbenterprise です。

次の強調表示された行を Kubernetes Operator 配置ファイルのspec.template.metadata.annotationsセクションに追加します。ほとんどのユーザーでは、このファイルの名前はmongodb-enterprise.yamlまたはmongodb-enterprise-openshift.yamlです。

注意

Helm を使用して Kubernetes Operator をインストールし、 Operator.vaultSecretBackend.enabledをtrueに設定した場合、Kubernetes Operator は次の注釈を追加します。次の手順に進むことができます。

apiVersion: apps/v1
kind: Deployment
metadata:
   name: mongodb-enterprise-operator
   namespace: production
spec:
   replicas: 1
   template:
      metadata:
        annotations:
          vault.hashicorp.com/agent-inject: "true"
          vault.hashicorp.com/role: "mongodbenterprise"

Vault を TLSモードで実行していて、オペレーター.vaultSecretBackend.tlsSecretRef 値を指定した場合、Kubernetes 演算子は次の注釈を追加します。それ以外の場合は、ファイルに次の強調表示された行を追加し、 {TLSSecret}をca.crtエントリを含むシークレットの名前に置き換えます。 ca.crtエントリの内容は、Vault TLS 証明書の生成に使用されるCAの証明書と一致する必要があります。

        annotations:
          vault.hashicorp.com/agent-inject: "true"
          vault.hashicorp.com/role: "mongodbenterprise"
          vault.hashicorp.com/tls-secret: {TLSSecret}
          vault.hashicorp.com/ca-cert: /vault/tls/ca.crt

Kubernetes で環境変数を定義します。

次の強調表示された行を Kubernetes Operator 配置ファイルのspec.envセクションに追加します。ほとんどのユーザーでは、このファイルの名前はmongodb-enterprise.yamlまたはmongodb-enterprise-openshift.yamlです。

apiVersion: apps/v1
kind: Deployment
metadata:
   name: mongodb-enterprise-operator
   namespace: production
spec:
   env:
   - name: OPERATOR_ENV
     value: ENVIRONMENT_NAME
   - name: SECRET_BACKEND
     value: VAULT_BACKEND

これは、環境変数を定義します（Kubernetes の Vault 用）。

Vault 構成情報を含むファイルを作成します。

お好みのテキスト編集アプリケーションを使用して、 configという名前のファイルを作成します。以下のテキストをファイルに貼り付けます。

apiVersion: v1
kind: ConfigMap
metadata:
  name: secret-configuration
  namespace: {Namespace}
data:
  VAULT_SERVER_ADDRESS: {VaultServerAddress}
  OPERATOR_SECRET_BASE_PATH: mongodbenterprise/operator
  DATABASE_SECRET_BASE_PATH: mongodbenterprise/database
  OPS_MANAGER_SECRET_BASE_PATH: mongodbenterprise/opsmanager
  APPDB_SECRET_BASE_PATH: mongodbenterprise/appdb

このファイル内のパスはデフォルトのパスです。 Kubernetes Operator の構成をカスタマイズした場合は、これらをベースパスに置き換えることができます。

Vault をTLSモードで実行している場合は、ファイルに次の強調表示された行も追加する必要があります。

   OPS_MANAGER_SECRET_BASE_PATH: mongodbenterprise/opsmanager
   APPDB_SECRET_BASE_PATH: mongodbenterprise/appdb
   TLS_SECRET_REF: {TLSSecret}

Vault 構成情報のプレースホルダーを置き換えます。

configファイル内のプレースホルダーをこれらの値に置き換えます。 .txtファイル拡張子を.yamlに置き換えて、 YAMLファイルタイプでファイルを保存します。

プレースホルダー	説明
{Namespace}	Kubernetes Operator の作成した名前空間。デフォルトの名前空間は`mongodb`です。
{VaultServerAddress}	Kubernetes Operator が Vault に接続するために使用するアドレス。
{TLSsecret}	`ca.crt`エントリを含むシークレットの名前。 `ca.crt`エントリの内容は、Vault TLS 証明書の生成に使用されるCAの証明書と一致する必要があります。

Vault 構成で ConfigMap を作成します。

次のコマンドを発行して、 ConfigMap を作成します Vault 情報を含む:

kubectl create configmap secret-configuration --from-file=config.yaml

これにより、 ConfigMap が作成されますsecret-configuration という名前。この ConfigMap にはconfig ファイルの内容が含まれています。

自動的に移行されないシークレットを手動で移行する

次のシークレットを Vault に保存するには、手動で移行する必要があります。

Kubernetes secret として保存されているオペレーターの認証情報を含む、既存のユーザー作成シークレット（該当する場合）
Kubernetes Operator が作成する生成キーシークレット
MongoDB Ops Manager管理者認証情報/管理キーKubernetes Operator は、
TLS シークレット

新しいシークレットを手動で移行または作成するには、 Vault に追加します。これらを Vault に追加した後、Kubernetes から削除できます。

Kubernetes Operator が作成する他のすべてのシークレットは自動的に移行され、Kubernetes Operator は新しいシークレットに Vault を使用します。ユーザーが作成したシークレットはVault に追加する必要があります。

注意

cert-manager は Kubernetes シークレットを自動的に再作成し、これらを Kubernetes から削除すると生成されます。これらのシークレットの削除は、Kubernetes に保存されないように手動で管理するか、cert-manager の使用を停止する必要があります。

次のステップ

MongoDB Enterprise Kubernetes Operator のシークレットストレージツールを構成すると、次のことが可能になります。

戻る

認証を有効にする

Vault でのシークレットの作成

サポートされているシークレット ストレージ ツール