Интеграция Vault HashiCorp
Подключение Vault, выдача секретов приложениям в кластере.
Введение
HashiCorp Vault позволяет централизованно хранить и выдавать секреты (пароли, ключи, сертификаты). Интеграция Vault с платформой «Штурвал» даёт возможность автоматически доставлять данные в кластер и выполнять их ротацию без хранения чувствительной информации в Git-репозиториях, конфигурационных файлах Helm chart и манифестах Kubernetes.
Интеграция Cert-Manager с Vault
В платформе доступна настройка интеграции Cert-Manager с Vault из графического интерфейса. Это позволяет выдавать TLS-сертификаты приложениям из Vault (например, через PKI-движок) вместо или в дополнение к обычным Issuer/ClusterIssuer.
- Перейдите в раздел Кластер → Администрирование → Менеджер сертификатов (или эквивалентный путь в вашей версии интерфейса).
- В разделе Неймспейс → Безопасность → Issuers / Issuer при создании или редактировании Issuer можно настроить интеграцию с Vault. Интеграция реализована с использованием Service Account для аутентификации к Vault из кластера.
Точные шаги и поля (адрес Vault, путь, роли) зависят от версии платформы; при необходимости сверьтесь с документацией по Менеджеру сертификатов и по настройке Issuer в разделе администратора кластера.
Использование Vault приложениями в кластере
Приложения в кластере могут получать секреты из Vault с помощью:
- Vault Agent Injector (если развёрнут в кластере) — инъекция секретов в под в виде файлов или переменных окружения.
- Kubernetes Auth Method в Vault — аутентификация подов по ServiceAccount; после входа приложение читает секреты через API Vault.
- Vault Secrets Operator — синхронизация секретов из Vault в Kubernetes через ресурсы
VaultConnection,VaultAuthиVaultStaticSecret. Подходит для сценариев, где требуется получать секреты из Vault в namespace кластера и использовать типовую конфигурацию для клиентских кластеров. - External Secrets Operator или аналог — синхронизация секретов из Vault в Kubernetes Secret с обновлением по расписанию или по событию.
Для сценария интеграции через профили клиентских кластеров и vault-secrets-operator используйте следующие инструкции по этапам:
- Подготовка профиля кластера для Vault
- Настройка интеграции с Vault, когда развёрнут клиентский кластер
Кратко
- Cert-Manager + Vault — настраивается через GUI (Issuer, интеграция по Service Account).
- Секреты для приложений — через Vault Agent, Kubernetes Auth или операторы синхронизации секретов; общая настройка зависит от выбранного способа и версии платформы.