Как ты внедрял Vault Agent Injector для подключения Kubernetes-сервисов к Vault?

Для интеграции Vault Agent Injector с Kubernetes-сервисами я делал следующие шаги:

1. Установил Vault Agent Injector в кластер через Helm или манифесты, настроив его на автоматическое внедрение sidecar-контейнера в нужные pod'ы.

2. Создал политики Vault, которые ограничивают доступ сервисов к секретам.

3. Настроил Kubernetes ServiceAccount с аннотациями, указывающими Vault, какие секреты нужно получить, и разрешения для Vault Agent.

4. В манифестах Deployment добавил аннотации, чтобы Vault Agent Injector автоматически добавлял sidecar, который аутентифицируется в Vault и монтирует секреты в pod.

5. Проверил, что секреты доступны в контейнере через файловую систему или переменные окружения, и что обновления секретов корректно обновляются.

Такой подход позволяет безопасно и динамически управлять секретами без их хардкода в образах или конфигурациях.