kubernetes-vault initコンテナがコントローラから提供された秘密のIDをアンラップする必要があるのはなぜですか？

Question

図のレポでは、initコンテナがラップされたsecret_idを受け取り、ヴォールトを使用してsecret_idのトークンをアンラップして使用していることがわかります。 kubernetes-vaultコントローラは、このアンラッピングと償還そのものを実行せず、単にトークンをinitコンテナに送信するのはなぜですか？

https://github.com/Boostport/kubernetes-vault/raw/master/flow-diagram.png

Answer 1

注：kubernetes-vaultプロジェクトは、私の会社によって維持オープンソースプロジェクトです。

• のみ初期化コンテナーと、それは最終的に秘密を見ることができているポッド：

  初期化コンテナが秘密をアンラップ理由は2つある。つまり、kubernetes-vaultコントローラは、トークンが何であるかを知らず、侵害された場合に悪意のある目的で使用することができません。

• 誰かがラップされたトークンを傍受してそれをアンラップすると、initコンテナはトークンをアンラップできなくなり、これはクラスタが侵害されたことを示す良い信号です。アンラップされたトークンがinitコンテナに送信された場合、それはインターセプトされ、これを警告することはできません。