Интеграция Vault HashiCorp

Подключение Vault, выдача секретов приложениям в кластере.

Введение

HashiCorp Vault позволяет централизованно хранить и выдавать секреты (пароли, ключи, сертификаты). Интеграция Vault с платформой «Штурвал» даёт возможность автоматически доставлять данные в кластер и выполнять их ротацию без хранения чувствительной информации в Git-репозиториях, конфигурационных файлах Helm chart и манифестах Kubernetes.


Интеграция Cert-Manager с Vault

В платформе доступна настройка интеграции Cert-Manager с Vault из графического интерфейса. Это позволяет выдавать TLS-сертификаты приложениям из Vault (например, через PKI-движок) вместо или в дополнение к обычным Issuer/ClusterIssuer.

  • Перейдите в раздел Кластер → Администрирование → Менеджер сертификатов (или эквивалентный путь в вашей версии интерфейса).
  • В разделе Неймспейс → Безопасность → Issuers / Issuer при создании или редактировании Issuer можно настроить интеграцию с Vault. Интеграция реализована с использованием Service Account для аутентификации к Vault из кластера.

Точные шаги и поля (адрес Vault, путь, роли) зависят от версии платформы; при необходимости сверьтесь с документацией по Менеджеру сертификатов и по настройке Issuer в разделе администратора кластера.


Использование Vault приложениями в кластере

Приложения в кластере могут получать секреты из Vault с помощью:

  • Vault Agent Injector (если развёрнут в кластере) — инъекция секретов в под в виде файлов или переменных окружения.
  • Kubernetes Auth Method в Vault — аутентификация подов по ServiceAccount; после входа приложение читает секреты через API Vault.
  • Vault Secrets Operator — синхронизация секретов из Vault в Kubernetes через ресурсы VaultConnection, VaultAuth и VaultStaticSecret. Подходит для сценариев, где требуется получать секреты из Vault в namespace кластера и использовать типовую конфигурацию для клиентских кластеров.
  • External Secrets Operator или аналог — синхронизация секретов из Vault в Kubernetes Secret с обновлением по расписанию или по событию.

Для сценария интеграции через профили клиентских кластеров и vault-secrets-operator используйте следующие инструкции по этапам:


Кратко

  • Cert-Manager + Vault — настраивается через GUI (Issuer, интеграция по Service Account).
  • Секреты для приложений — через Vault Agent, Kubernetes Auth или операторы синхронизации секретов; общая настройка зависит от выбранного способа и версии платформы.