2.3 KiB
2.3 KiB
Vault test
Настраиваем получение логопаса в под из внешнего vault-сервера
Общий порядок действий
- поднять vault сервер
- поднять heml-чарт
- настроить подключение из куба в vault
- добавить в vault тестовые секреты, запустить тестовый деплоймент и проверить что секреты получены
1. запуск vault в докере
- docker compose up -d
2. запуск heml-чарта
- прописываем в переменных адрес vault-сервера
- запускаем чарт
helm upgrade --install --create-namespace -n vault vault helm/vault
3. подключение из куба в vault
vault auth enable kubernetesTOKEN_REVIEW_JWT=$(kubectl get secret $VAULT_HELM_SECRET_NAME -n vault --output='go-template={{ .data.token }}' | base64 --decode)KUBE_CA_CERT=$(kubectl config view --raw --minify --flatten --output='jsonpath={.clusters[].cluster.certificate-authority-data}' | base64 --decode)KUBE_HOST=$(kubectl config view --raw --minify --flatten --output='jsonpath={.clusters[].cluster.server}')- прописываем конфиг соединения
vault write auth/kubernetes/config \
token_reviewer_jwt="$TOKEN_REVIEW_JWT" \
kubernetes_host="$KUBE_HOST" \
kubernetes_ca_cert="$KUBE_CA_CERT" \
issuer="https://kubernetes.default.svc.cluster.local"
- добавляем полиси доступа
vault policy write vault-test - <<EOF
path "secret/data/vault-test/config" {
capabilities = ["read"]
}
EOF
- формируем роль доступа с куба в вольт
vault write auth/kubernetes/role/vault-test \
bound_service_account_names=sa-vault \
bound_service_account_namespaces=vault-test \
policies=vault-test \
ttl=24h
4. Запуск тестового деплоя
vault login rootvault kv put secret/vault-test/config username='vassiliy' password='password' database='testdb' psqlhost='psql-service'vault kv get -format=json secret/vault-test/config | jq ".data.data"k apply -f vault-test.yaml