Каким образом вы добавляли поддержку Vault в кластер Kubernetes?

Для добавления поддержки Vault в кластер Kubernetes обычно выполняются следующие шаги:

1. Установка Vault: разворачивается Vault сервер, часто в виде StatefulSet или Deployment внутри кластера или вне его.
2. Настройка аутентификации: настраивается метод аутентификации Kubernetes (например, Kubernetes Auth), чтобы поды могли получать токены Vault.
3. Создание политик Vault: определяются политики доступа, которые ограничивают права приложений.
4. Интеграция с приложениями: приложения получают секреты через sidecar-контейнеры, init-контейнеры или напрямую через API Vault.
5. Использование CSI драйвера: для монтирования секретов Vault как томов в поды.

Пример манифеста для включения Kubernetes Auth в Vault:

# В Vault CLI
vault auth enable kubernetes
vault write auth/kubernetes/config \
    token_reviewer_jwt="<JWT_TOKEN>" \
    kubernetes_host="https://<K8S_API>" \
    kubernetes_ca_cert=@ca.crt

vault write auth/kubernetes/role/my-role \
    bound_service_account_names=my-service-account \
    bound_service_account_namespaces=default \
    policies=my-policy \
    ttl=24h

Таким образом, приложения в Kubernetes могут безопасно получать доступ к секретам Vault, используя свои сервисные аккаунты.