Как поставлять секреты из волта приложениям, задеплоенным в куб
План мастер-класса:
- Рассмотрим доставку секретов через Bank-vaults
- Задеплоим приложение со статичными и динамическими секретами
- Рассмотрим как разграничить доступ и обойти ограничения
- Рассмотрим как доставить секреты через Vault Agent
Нам понадобятся:
- Репозиторий с воркшопом
- K8S кластер (minikube или любой другой доступный вам кластер, где у вас есть админский доступ)
- kubectl
- helm
- jq
- curl
- GNU sed (по умолчанию в Linux, в mac os надо ставить отдельно, можно через brew)
- GNU make (опционально)
- Docker (опционально)
Что сделаем:
- Запустим инстанс волта в кубе
- Настроим его
- Задеплоим Banzaicloud Vault Secrets Webhook
- Задеплоим приложение несколько раз, в том числе несколько приложений с разными доступами в одном неймспейсе, и рассмотрим как передавать статичные секреты (KeyValue), а так же динамические (DB Secrets Engine)
- Рассмотрим как можно передавать секреты приложению с помощью Vault Agent
вводная презентация