Как пользоваться CSI Provider: доставляем секреты из Vault в Kubernetes

[cthtuf]

Хорошая инструкция ?

Есть такая неочевидная штука, о которой я бы упомянул - если вы захотите использовать только переменные окружения, вместо файлов, то вам все равно нужно будет замаунтить вольюм в контейнер (указать его в секции volumeMounts пода), иначе переменные окружения не появятся.

[eapdark]

да все верно первым делом маунтим а потом уже переменная .

[bordakovskiy]

Хорошая статья. Есть vault-bank от banzaicloud, сразу можно монтировать все секреты в env. Но через сайдкар.

[Stok1y]

Хороший инструмент, тоже его используем.

[agat_khafizov]

Статья хорошая, но жаль что в кубернетес создается сущность секрета (в вашем случае "dbpass") и этот секрет остается в кодировке base64.

[akelsey]

Мы используем external secret operator (https://external-secrets.io) который делает вроде бы то что нужно и вам, синхронизирует пароли из hashicorp vault в секреты кубера. Вы его не рассматривали или отмели потому что он чем то не подошёл?

[Stok1y]

Мы его не рассматривали, так как Hashicorp уже предоставляет решение которое выполняет все необходимые функции.
Тут вопрос функционала, этим инструментом можно сразу закрыть несколько платформ(aws,gcp,k8s). А у нас Kubernetes as is, поэтому Vault Provider вполне подходит.