Как секреты из Vault попадают в Kubernetes? Какие существуют подходы?
AstonОтвет от нейросети
sobes.tech AI
Секреты из HashiCorp Vault в Kubernetes можно интегрировать несколькими способами:
-
Vault Agent Injector — специальный sidecar-контейнер, который автоматически внедряется в поды и монтирует секреты в виде файлов или переменных окружения. Vault Agent периодически обновляет секреты без перезапуска приложения.
-
CSI Driver для Vault — Kubernetes CSI (Container Storage Interface) плагин, который позволяет монтировать секреты из Vault как тома в поды. Это удобно для приложений, которые читают секреты из файловой системы.
-
Direct API вызовы из приложения — приложение само обращается к Vault через API, используя Kubernetes ServiceAccount и токены для аутентификации.
-
External Secrets Operator — оператор, который синхронизирует секреты из Vault в Kubernetes Secrets, позволяя использовать их стандартным образом.
Пример использования Vault Agent Injector в манифесте Pod:
apiVersion: v1
kind: Pod
metadata:
annotations:
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/role: "my-role"
vault.hashicorp.com/agent-inject-secret-config: "secret/data/myapp/config"
spec:
containers:
- name: myapp
image: myapp-image
env:
- name: CONFIG_PATH
value: "/vault/secrets/config"
Таким образом, секреты безопасно доставляются в поды без хранения в Kubernetes Secrets напрямую.