Как стать автором
Обновить

Комментарии 7

Хорошая инструкция ?

Есть такая неочевидная штука, о которой я бы упомянул - если вы захотите использовать только переменные окружения, вместо файлов, то вам все равно нужно будет замаунтить вольюм в контейнер (указать его в секции volumeMounts пода), иначе переменные окружения не появятся.

да все верно первым делом маунтим а потом уже переменная .

Хорошая статья. Есть vault-bank от banzaicloud, сразу можно монтировать все секреты в env. Но через сайдкар.

Хороший инструмент, тоже его используем.

Статья хорошая, но жаль что в кубернетес создается сущность секрета (в вашем случае "dbpass") и этот секрет остается в кодировке base64.

Мы используем external secret operator (https://external-secrets.io) который делает вроде бы то что нужно и вам, синхронизирует пароли из hashicorp vault в секреты кубера. Вы его не рассматривали или отмели потому что он чем то не подошёл?

Мы его не рассматривали, так как Hashicorp уже предоставляет решение которое выполняет все необходимые функции.
Тут вопрос функционала, этим инструментом можно сразу закрыть несколько платформ(aws,gcp,k8s). А у нас Kubernetes as is, поэтому Vault Provider вполне подходит.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий