Как поставлять секреты из волта приложениям, задеплоенным в куб

План мастер-класса:

  • Рассмотрим доставку секретов через Bank-vaults
  • Задеплоим приложение со статичными и динамическими секретами
  • Рассмотрим как разграничить доступ и обойти ограничения
  • Рассмотрим как доставить секреты через Vault Agent

Нам понадобятся:

  • Репозиторий с воркшопом
  • K8S кластер (minikube или любой другой доступный вам кластер, где у вас есть админский доступ)
  • kubectl
  • helm
  • jq
  • curl
  • GNU sed (по умолчанию в Linux, в mac os надо ставить отдельно, можно через brew)
  • GNU make (опционально)
  • Docker (опционально)

Что сделаем:

  • Запустим инстанс волта в кубе
  • Настроим его
  • Задеплоим Banzaicloud Vault Secrets Webhook
  • Задеплоим приложение несколько раз, в том числе несколько приложений с разными доступами в одном неймспейсе, и рассмотрим как передавать статичные секреты (KeyValue), а так же динамические (DB Secrets Engine)
  • Рассмотрим как можно передавать секреты приложению с помощью Vault Agent

вводная презентация