Итак, вы наконец-то стали счастливым обладателем k8s-кластера: получили его в наследство, в подарок на Новый год, заказали в DataLine) и т. п. У новых клиентов и даже у опытных пользователей часто возникает вопрос, как оценить кластер и проверить его работоспособность? 

В ответ мы написали этот мануал: при выполнении всех пунктов можно закрыть 95% вопросов о состоянии здоровья кластера. Поскольку проверка такой многокомпонентной системы может стать нетривиальной задачей, подойдем к процессу как можно проще.

Vault от HashiСorp — довольно известное open-source-решение для хранения секретов и неплохая альтернатива реализации секретов в Kubernetes. Vault использует свой сайдкар-контейнер на каждом поде, который получает секреты из хранилища и доставляет их в под или же реализует доступ к секретам через csi-драйвер.

Но как быть, если необходимо положить секреты из Vault в секреты Kubernetes? Например, мы хотим хранить и обновлять свой tls-сертификат для ингресса из Vault. Или мы решили использовать gitops и хотим, чтобы в репозитории безопасно хранилось все описание инфраструктуры, в том числе и секретов Kubernetes?

Разберем этот сценарий на практике и реализуем его с помощью vault-secrets-operator.

1. Установим OpenLDAP и настроим на нем поддержку STARTTLS. 
2. Опишем структуру LDAP-каталога нашей организации.
3. Включим поддержку OIDC (OpenID Connect) на kube-api-серверах.
   
4. Получим SAN-сертификат для доменов, которые будет использовать Dex.
5. Установим Dex и Dex-auth, где мы опишем LDAP-каталог и статических пользователей. 
6. Сгенерируем kubeconfig нашего пользователя для работы с кластером.
7. Настроим RBAC-авторизацию для групп и пользователей в кластере.