Hashicorp Vault \u0443\u0436\u0435 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u043d\u0430 \u0441\u043b\u0443\u0445\u0443 \u0438 \u0437\u0430\u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u043e\u0432\u0430\u043b \u043a\u0430\u043a \u043d\u0430\u0434\u0435\u0436\u043d\u0430\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u043a\u043e\u043d\u0444\u0438\u0434\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438(\u0441\u0435\u043a\u0440\u0435\u0442\u043e\u0432): \u043f\u0430\u0440\u043e\u043b\u0438, ssh \u043a\u043b\u044e\u0447\u0438, api \u0442\u043e\u043a\u0435\u043d\u044b, \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432 \u0438 \u043f\u0440.<\/p>\n\n\n\n
Hashicorp Vault \u043f\u043e\u043c\u043e\u0436\u0435\u0442 \u0440\u0435\u0448\u0438\u0442\u044c \u0441\u0440\u0430\u0437\u0443 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0437\u0430\u0434\u0430\u0447:<\/p>\n\n\n\n
\u2022 \u0421\u043e\u0437\u0434\u0430\u0442\u044c \u0435\u0434\u0438\u043d\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0435 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0435 \u0441\u0435\u043a\u0440\u0435\u0442\u043e\u0432;
\u2022 \u0417\u0430\u0449\u0438\u0442\u0438\u0442\u044c \u043e\u0442 \u0443\u0442\u0435\u0447\u043a\u0438 \u0441\u0435\u043a\u0440\u0435\u0442\u043e\u0432;
\u2022 \u0421\u0434\u0435\u043b\u0430\u0442\u044c \u0440\u0430\u0431\u043e\u0442\u0443 \u0441 \u0441\u0435\u043a\u0440\u0435\u0442\u0430\u043c\u0438 \u0434\u043b\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0443\u0434\u043e\u0431\u043d\u043e\u0439.<\/p>\n\n\n\n
\u041d\u0430 \u0442\u0435\u043a\u0443\u0449\u0438\u0439 \u043c\u043e\u043c\u0435\u043d\u0442 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043c\u043d\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0433\u0430\u0446\u0438\u0438 Hashicorp Vault \u0441 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u043c\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c\u0438 CI\/CD, \u043e\u0431\u043b\u0430\u0447\u043d\u044b\u043c\u0438 \u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430\u043c\u0438, \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c\u0438 \u043e\u0440\u043a\u0435\u0441\u0442\u0440\u0430\u0446\u0438\u0438\/\u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0438\u0437\u0430\u0446\u0438\u0438<\/p>\n\n\n\n
\u041c\u044b \u0432 \u0440\u0430\u0431\u043e\u0442\u0435 \u0430\u043a\u0442\u0438\u0432\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c kubernetes. \u041e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u0437\u0430\u0434\u0430\u0447\u0435\u0439 \u0431\u044b\u043b\u043e \u043d\u0430\u0439\u0442\u0438 \u0440\u0435\u0448\u0435\u043d\u0438\u0435, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043d\u0430 \u0432\u044b\u0445\u043e\u0434\u0435 \u0441\u0435\u043a\u0440\u0435\u0442 kubernetes. \u041f\u0440\u043e\u0431\u043e\u0432\u0430\u043b\u0438:<\/p>\n\n\n\n External Secrets Operator \u043f\u0440\u043e\u0441\u0442\u044b\u043c\u0438 \u0441\u043b\u043e\u0432\u0430\u043c\u0438 — \u044d\u0442\u043e \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440 \u0434\u043b\u044f kubernetes, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0441\u0438\u043d\u0445\u0440\u043e\u043d\u0438\u0437\u0438\u0440\u0443\u0435\u0442 \u0441\u0435\u043a\u0440\u0435\u0442\u044b \u0438\u0437 \u0432\u043d\u0435\u0448\u043d\u0438\u0445 API \u0438 \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0438\u0445 \u0432 kubernetes. \u0415\u0441\u043b\u0438 \u0441\u0435\u043a\u0440\u0435\u0442 \u0432\u043e \u0432\u043d\u0435\u0448\u043d\u0435\u043c API \u0438\u0437\u043c\u0435\u043d\u044f\u0435\u0442\u0441\u044f, \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440 \u043e\u0431\u043d\u043e\u0432\u043b\u044f\u0435\u0442 \u0441\u0435\u043a\u0440\u0435\u0442\u044b.<\/p>\n\n\n\n \u0421 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 kubernetes \u0435\u0441\u0442\u044c \u043f\u0430\u0440\u0430 \u043c\u043e\u043c\u0435\u043d\u0442\u043e\u0432:<\/p>\n\n\n\n \u0421\u043e \u0441\u0442\u043e\u0440\u043e\u043d\u044b Hashicorp Vault \u0432\u0441\u0435 \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043e. \u0427\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a api, \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0432\u043b\u0430\u0434\u0435\u0442\u044c \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u043c\u0438 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u044f\u043c\u0438 \u0434\u043b\u044f \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438. \u0420\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f \u043f\u043e \u044d\u0442\u0430\u043f\u0430\u043c<\/p>\n\n\n\n \u0414\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u043c \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0439 hashicorp \u0438 \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c vault. \u0412 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0431\u0435\u043a\u0435\u043d\u0434\u0430 Integrated Storage (Raft).<\/p>\n\n\n\n Integrated Storage (Raft) \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0442\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u0447\u0442\u043e \u0432\u0441\u0435 \u0443\u0437\u043b\u044b \u0432 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0435 Vault \u0431\u0443\u0434\u0443\u0442 \u0438\u043c\u0435\u0442\u044c \u0440\u0435\u043f\u043b\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u043a\u043e\u043f\u0438\u044e \u0434\u0430\u043d\u043d\u044b\u0445 Vault. Integrated Storage Raft \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f Hashicorp.<\/p>\n\n\n\n \u0411\u0435\u043a\u0430\u043f \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043d\u0430 \u043b\u044e\u0431\u043e\u043c \u0438\u0437 \u0443\u0437\u043b\u043e\u0432. \u041f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u043c, \u0447\u0442\u043e \u0432\u0441\u0435 \u043f\u043e\u0434\u044b \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043b\u0438\u0441\u044c:<\/p>\n\n\n\n \u0418\u043d\u0438\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u043c vault<\/p>\n\n\n\n \u041f\u043e\u0441\u043b\u0435 \u0438\u043d\u0438\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 vault \u043f\u043e\u043b\u0443\u0447\u0438\u043c \u043a\u043e\u0440\u043d\u0435\u0432\u043e\u0439 \u043a\u043b\u044e\u0447 \u0438 5 \u043a\u043b\u044e\u0447\u0435\u0439 \u0434\u043b\u044f \u0440\u0430\u0441\u043f\u0435\u0447\u0430\u0442\u043a\u0438.<\/p>\n\n\n\n \u0420\u0430\u0441\u043f\u0435\u0447\u0430\u0442\u0430\u0435\u043c \u043a\u043b\u0430\u0441\u0442\u0435\u0440. \u041f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f 3 unseal \u043a\u043b\u044e\u0447\u0430.<\/p>\n\n\n\n \u041f\u043e\u0441\u043b\u0435 \u043f\u0440\u0438\u0441\u043e\u0435\u0434\u0438\u043d\u0438\u043c \u043e\u0441\u0442\u0430\u0432\u0448\u0438\u0435\u0441\u044f 2 \u043f\u043e\u0434\u0430 \u043a \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0443.<\/p>\n\n\n\n \u041f\u043e\u0441\u043b\u0435 \u0440\u0430\u0441\u043f\u0435\u0447\u0430\u0442\u043a\u0438 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0438\u0440\u0443\u0435\u043c\u0441\u044f \u0432 vault \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u043a\u043e\u0440\u043d\u0435\u0432\u043e\u0439 \u043a\u043b\u044e\u0447(Initial Root Token).<\/p>\n\n\n\n \u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430<\/p>\n\n\n\n \u041c\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c \u0432\u0442\u043e\u0440\u0443\u044e \u0432\u0435\u0440\u0441\u0438\u044e KV \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0430, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043f\u0443\u0442\u044c \u0434\u043e \u0441\u0435\u043a\u0440\u0435\u0442\u0430 \u0431\u0443\u0434\u0435\u0442 \/projects\/data\/ \u0438 \/projects\/metadata.<\/p>\n\n\n\n \u041e\u0434\u043d\u043e \u0438\u0437 \u043e\u0442\u043b\u0438\u0447\u0438\u0439 \u043c\u0435\u0436\u0434\u0443 \u0432\u0435\u0440\u0441\u0438\u044f\u043c\u0438, \u0447\u0442\u043e \u0432\u0442\u043e\u0440\u0430\u044f \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u0432\u0435\u0440\u0441\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435.<\/p>\n\n\n\n \u041f\u043b\u044e\u0441 \u0432\u044b\u0434\u0430\u0434\u0438\u043c \u043f\u0440\u0430\u0432\u0430 \u043d\u0430 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u0442\u043e\u043a\u0435\u043d\u0430.<\/p>\n\n\n\n \u0441\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u0440\u043e\u043b\u044c<\/p>\n\n\n\n \u0441\u043e\u0437\u0434\u0430\u0434\u0438\u043c service account<\/p>\n\n\n\n \u041f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u043c, \u0447\u0442\u043e \u0432\u0441\u0435 \u043f\u043e\u0434\u044b \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043b\u0438\u0441\u044c:<\/p>\n\n\n\n External Secrets Operator — \u043d\u0430\u0431\u043e\u0440 custom resources \u0442\u0430\u043a\u0438\u0445 \u043a\u0430\u043a: ExternalSecret, SecretStore \u0438 ClusterSecretStore.<\/p>\n\n\n\n \u041c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0442\u043e\u043b\u044c\u043a\u043e ExternalSecret \u0438 SecretStore, \u0442.\u043a. \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0441\u0442\u0432\u0430 \u0438\u043c\u0435\u043d(namespace) \u0441\u0432\u043e\u0438 \u0441\u0435\u043a\u0440\u0435\u0442\u044b. ClusterSecretStore \u0431\u0443\u0434\u0435\u0442 \u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d \u0438\u0437 \u043b\u044e\u0431\u043e\u0433\u043e \u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0441\u0442\u0432\u0430 \u0438\u043c\u0435\u043d(namespace).<\/p>\n\n\n\n SecretStore \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043a\u0430\u043a \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f.<\/p>\n\n\n\n ExternalSecret \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043a\u0430\u043a\u0438\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u043d\u0443\u0436\u043d\u043e \u0438\u0437\u0432\u043b\u0435\u0447\u044c.<\/p>\n\n\n\n \u0421\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u044b:<\/p>\n\n\n\n \u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c, \u0447\u0442\u043e \u0432\u0441\u0435 \u0441\u043e\u0437\u0434\u0430\u043b\u043e\u0441\u044c<\/p>\n\n\n\n \u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c \u043d\u0430\u0448 \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0439 \u0441\u0435\u043a\u0440\u0435\u0442<\/p>\n\n\n\n \u041f\u043e\u0434\u0432\u0435\u0434\u0435\u043c \u043d\u0435\u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0438\u0442\u043e\u0433. \u042d\u0442\u043e\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0445\u043e\u0440\u043e\u0448\u043e \u0440\u0435\u0448\u0430\u0435\u0442 \u0437\u0430\u0434\u0430\u0447\u0443 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u0441\u0438\u043d\u0445\u0440\u043e\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u0441\u0435\u043a\u0440\u0435\u0442\u043e\u0432 \u043c\u0435\u0436\u0434\u0443 Vault \u0438 kubernetes. \u0422\u0430\u043a\u0436\u0435 ESO \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u0434\u0440\u0443\u0433\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0441\u0435\u043a\u0440\u0435\u0442\u0430\u043c\u0438, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a AWS Secrets Manager, GCP Secrets Manager, Yandex Lockbox, \u0447\u0442\u043e \u0443\u043f\u0440\u043e\u0449\u0430\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0443.<\/p>\n\n\n\n
\u041f\u0435\u0440\u0435\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u0432 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0441\u043f\u043e\u0441\u043e\u0431\u043e\u0432 \u0434\u043e\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u0441\u0435\u043a\u0440\u0435\u0442\u044b \u0432 kubernetes \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f Hashicorp Vault, \u043c\u044b \u043e\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043b\u0438\u0441\u044c \u043d\u0430 External Secrets Operator<\/a>.<\/p>\n\n\n\n\n
\n
\u041f\u043b\u044e\u0441 \u043f\u0440\u0438 \u0440\u0435\u0441\u0442\u0430\u0440\u0442\u0435 \u043a\u043b\u0430\u0441\u0442\u0435\u0440 \u0437\u0430\u043f\u0435\u0447\u0430\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f, \u0435\u0441\u043b\u0438 \u043a\u043e\u043d\u0435\u0447\u043d\u043e \u043d\u0435 \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043d\u043e \u0430\u0432\u0442\u043e\u0440\u0430\u0441\u043f\u0435\u0447\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430(autounseal) \u0442\u0440\u0430\u043d\u0437\u0438\u0442\u043d\u044b\u043c\u0438 \u043a\u043b\u044e\u0447\u0430\u043c\u0438. \u0414\u043b\u044f \u0440\u0443\u0447\u043d\u043e\u0433\u043e \u0440\u0430\u0441\u043f\u0435\u0447\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0442\u0440\u0435\u0431\u0443\u044e\u0442\u0441\u044f 3 \u0438\u0437 5 \u043a\u043b\u044e\u0447\u0435\u0439(unseal keys). \u0412 \u0438\u0434\u0435\u0430\u043b\u0435 \u043a\u043b\u044e\u0447\u0438 \u0434\u043e\u043b\u0436\u043d\u044b \u0445\u0440\u0430\u043d\u0438\u0442\u044c\u0441\u044f \u0443 \u0440\u0430\u0437\u043d\u044b\u0445 \u043b\u044e\u0434\u0435\u0439.<\/p>\n\n\n\n
\n\n\n\n\u0427\u0442\u043e \u043f\u043e\u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u0434\u043b\u044f \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438?<\/h3>\n\n\n\n
\n
\u042d\u0442\u0430\u043f 1<\/h3>\n\n\n\n
1. \u0423\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0430 vault<\/h4>\n\n\n\n
\u041a\u043e\u043c\u0430\u043d\u0434\u044b \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0441\u0442\u044b\u0435:<\/p>\n\n\n\n\n
helm repo add hashicorp https:\/\/helm.releases.hashicorp.com\n\nhelm install vault hashicorp\/vault \\\n --set='server.ha.enabled=true' \\\n --set='server.ha.raft.enabled=true' \\\n -n vault \\\n --create-namespace \n<\/code><\/pre>\n\n\n\nkubectl get po -n vault\n\nNAME READY STATUS RESTARTS AGE\nvault-0 1\/1 Running 0 1d\nvault-1 1\/1 Running 0 1d\nvault-2 1\/1 Running 0 1d\n<\/code><\/pre>\n\n\n\n2. \u0418\u043d\u0438\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f \u0438 \u0440\u0430\u0441\u043f\u0435\u0447\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0435 \u043a\u043b\u0430\u0441\u0442\u0435\u0440\u0430 Hashicorp Vault<\/h4>\n\n\n\n
kubectl exec -ti vault-0 -- vault operator init\n<\/code><\/pre>\n\n\n\nUnseal Key 1: wQRU1yjL88Plb3rPSQPUfLw1KOCsPMACpXLY0Ixbdhfg\nUnseal Key 2: ai3NajyVDFyqG5Lz6pDYNX118ti9Slqo2vueQhtg6Usq\nUnseal Key 3: x1a0VneA8cBkcXMDkxPwOOByPzlwuUw3dNaa7hfUqDAx\nUnseal Key 4: oztkcLGBAesVQwyO7Kc059xlqq9YSh1vkEkQFzKlnwae\nUnseal Key 5: 5cVmmDVZ7BIbQolCQdCoUXhdTRojPD2rgE1t83QgRKNn\n \nInitial Root Token: s.lTEYiTAv63CLsf0FqBcS672x \n<\/code><\/pre>\n\n\n\nkubectl exec -ti vault-0 -- vault operator unseal\n<\/code><\/pre>\n\n\n\nkubectl exec -ti vault-1 -- vault operator raft join http:\/\/vault-0.vault-internal:8200\nkubectl exec -ti vault-1 -- vault operator unseal\n<\/code><\/pre>\n\n\n\nkubectl exec -ti vault-2 -- vault operator raft join http:\/\/vault-0.vault-internal:8200\nkubectl exec -ti vault-2 -- vault operator unseal\n<\/code><\/pre>\n\n\n\nkubectl exec -ti vault-0 -- vault login\n<\/code><\/pre>\n\n\n\nkubectl exec -ti vault-0 -- vault operator raft list-peers\n\nNode Address State Voter\n---- ------- ----- -----\n4rzii8af-8847-7f28-23f0-p36vwkghqxng vault-0.vault-internal:8201 leader true\naydfyon3-6b3x-1b7x-9b34-bdzpa1el2dzf vault-1.vault-internal:8201 follower true\n2tjh4iqi-8bcv-8b2n-1b7s-wj6wtxgOk5cs vault-2.vault-internal:8201 follower true\n<\/code><\/pre>\n\n\n\n3. \u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u043e\u043b\u0438\u0442\u0438\u043a\u0438 \u043d\u0430 \u0447\u0442\u0435\u043d\u0438\u0435 \u0441\u0435\u043a\u0440\u0435\u0442\u043e\u0432 \u0438\u0437 Hashicorp Vault<\/h4>\n\n\n\n
vault policy write read-secret - <<EOF\npath \"\/projects\/data\/dev\/*\" {\n capabilities = [\"read\", \"list\"]\n}\n\npath \"\/projects\/metadata\/dev\/*\" {\n capabilities = [\"read\", \"list\"]\n}\n\npath \"auth\/token\/renew-self\" {\n capabilities = [\"update\"]\n}\nEOF\n<\/code><\/pre>\n\n\n\n4. \u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 kubernetes<\/h4>\n\n\n\n
vault auth enable kubernetes\n\nvault write auth\/kubernetes\/config \\\nkubernetes_host=https:\/\/${KUBERNETES_PORT_443_TCP_ADDR}:443 \\\nissuer=\"https:\/\/kubernetes.default.svc.cluster.local\"\n<\/code><\/pre>\n\n\n\nvault write auth\/kubernetes\/role\/read-secret \\\nbound_service_account_names=vault-auth \\\nbound_service_account_namespaces=vault \\\npolicies=read-secret \\\nalias_name_source=serviceaccount_name \\\nttl=1h\n<\/code><\/pre>\n\n\n\nkubectl create serviceaccount vault-auth -n vault\n<\/code><\/pre>\n\n\n\n6. \u0421\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u0441\u0435\u043a\u0440\u0435\u0442<\/h4>\n\n\n\n
vault kv put projects\/dev\/app user=admin password=123456\n==== Secret Path ====\nprojects\/data\/dev-app\n\n======= Metadata =======\nKey Value\n--- -----\ncreated_time 2023-08-18T10:28:38.163062633Z\ncustom_metadata <nil>\ndeletion_time n\/a\ndestroyed false\nversion 1\n<\/code><\/pre>\n\n\n\n\u042d\u0442\u0430\u043f 2<\/h3>\n\n\n\n
1. \u0423\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0430 External Secrets Operator<\/h4>\n\n\n\n
helm repo add external-secrets https:\/\/charts.external-secrets.io\n\nhelm install external-secrets \\\n external-secrets\/external-secrets \\\n -n vault \\\n --create-namespace \n<\/code><\/pre>\n\n\n\nkubectl get po -n vault\n\nNAME READY STATUS RESTARTS AGE\nexternal-secrets-h4ls02c0wd-1cxyr 1\/1 Running 0 58d\nexternal-secrets-cert-controller-h4lfd8bfzg-km8ez 1\/1 Running 0 58d\nexternal-secrets-webhook-su3x3fOjk-uxsy2 1\/1 Running 0 58d\n<\/code><\/pre>\n\n\n\n2. \u041d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430 External Secrets Operator<\/h4>\n\n\n\n
apiVersion: external-secrets.io\/v1beta1\nkind: SecretStore\nmetadata:\n name: app\n namespace: dev-app\nspec:\n provider:\n vault:\n server: \"http:\/\/vault.vault:8200\" # \u0430\u0434\u0440\u0435\u0441 \u043d\u0430\u0448\u0435\u0433\u043e vault. \u0421\u043a\u043b\u0430\u0434\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0438\u0437 \u0438\u043c\u0435\u043d\u0438 \u0441\u0435\u0440\u0432\u0438\u0441\u0430 \u0438 \u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0441\u0442\u0432\u0430 \u0438\u043c\u0435\u043d.\n path: \"projects\" # \u0438\u043c\u044f kv\n version: \"v2\" # \u0432\u0435\u0440\u0441\u0438\u044f kv\n auth:\n kubernetes: # \u043c\u0435\u0442\u043e\u0434 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438\n mountPath: \"kubernetes\"\n role: \"read-secret\" # \u0440\u043e\u043b\u044c \u0434\u043b\u044f \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438\n serviceAccountRef:\n name: \"vault-auth\" # \u0438\u043c\u044f \u043d\u0430\u0448\u0435\u0433\u043e serviceAccount\n---\napiVersion: external-secrets.io\/v1beta1\nkind: ExternalSecret\nmetadata:\n name: app\n namespace: dev-app\nspec:\n refreshInterval: \"15s\"\n secretStoreRef:\n name: app # \u0438\u043c\u044f SecretStore\n kind: SecretStore\n target:\n name: vault-secrets # \u0438\u043c\u044f \u0431\u0443\u0434\u0443\u0449\u0435\u0433\u043e \u0441\u0435\u043a\u0440\u0435\u0442\u0430 kubernetes\n data:\n - secretKey: user # \u043a\u043b\u044e\u0447 \u0441\u0435\u043a\u0440\u0435\u0442\u0430\n remoteRef:\n key: dev\/app # \u043f\u0443\u0442\u044c \u0434\u043e \u0441\u0435\u043a\u0440\u0435\u0442\u0430 \u0432 vault\n property: user # \u043a\u043b\u044e\u0447 \u0441\u0435\u043a\u0440\u0435\u0442\u0430 \u0432 vault\n - secretKey: password\n remoteRef:\n key: dev\/app\n property: password\n<\/code><\/pre>\n\n\n\nkubectl get externalsecrets -n vault\nNAME AGE STATUS CAPABILITIES READY\nsecretstore.external-secrets.io\/app 14m Valid ReadWrite True\n\nNAME STORE REFRESH INTERVAL STATUS READY\nexternalsecret.external-secrets.io\/app app 15s SecretSynced True\n<\/code><\/pre>\n\n\n\nkubectl describe secrets -n vault vault-secrets\nName: vault-secrets\nNamespace: vault\nLabels: <none>\nAnnotations: created-by: system:serviceaccount:vault:external-secrets\n reconcile.external-secrets.io\/data-hash: b749f0dfb88266e3b81d63dbc2a4402b\n\nType: Opaque\n\nData\n====\npassword: 6 bytes\nuser: 5 bytes\n<\/code><\/pre>\n\n\n\nkubectl get secrets\/vault-secrets --template={{.data.user}} | base64 -D\nadmin\nkubectl get secrets\/vault-secrets --template={{.data.password}} | base64 -D\n123456\n<\/code><\/pre>\n\n\n\n