Vault

Vault — это система управления секретами от HashiCorp, которая позволяет безопасно хранить и получать доступ к токенам, паролям, сертификатам и другим чувствительным данным. В Kubernetes Vault используется как внешнее хранилище секретов и может обеспечивать централизованное управление доступом к ним.

Установка

Установить Vault в кластер можно через панель управления. Для этого:

Перейдите во вкладку «Дополнения» на странице управления кластером. Найдите карточку «Vault» и нажмите «Установить».

В появившемся окне вы можете изменить параметры установки:

1. Переключитесь в режим продвинутой установки;

2. Отредактируйте конфигурацию вручную или загрузите свой файл values.yaml;

3. Нажмите кнопку «Установить».

Конфигурация по умолчанию подразумевает что дополнение будет использоваться в dev-режиме. Это упрощенный режим, в котором Vault автоматически инициализируется, не требует настройки хранилища и использует предустановленный root token. Такой режим подходит только для тестирования и разработки — он небезопасен для продакшена.

Проверка установки

После завершения установки дополнения убедитесь, что компоненты Vault успешно запустились. Для этого выполните команду:

Вы должны увидеть список подов, среди которых:

• vault-0 — основной под Vault;

• vault-agent-injector-xxx — сервис, отвечающий за автоматическую подстановку секретов в поды;

• дополнительные поды (например, vault-1, vault-2), если установлен в HA-режиме.

Если в конфигурации была включена опция ui = true (по умолчанию включена), вы можете получить доступ к веб-интерфейсу Vault:

Пробросьте порт с помощью следующей команды:

Откройте браузер и перейдите по адресу:

В dev-режиме Vault уже инициализирован, и вы можете авторизоваться с помощью токена, указанного в конфигурации. По умолчанию значение такое:

Список метрик в интерфейсе HashiCorp Vault®

Режим HA

Режим HA (High Availability) позволяет развернуть несколько экземпляров Vault с распределенным хранением данных. Это обеспечивает:

• отказоустойчивость — при выходе из строя одного экземпляра кластер продолжит работать;
• централизованное хранилище;
• возможность масштабирования.

Один из подов становится лидером, остальные работают в режиме standby. Запросы на чтение/запись обрабатывает только лидер, но в случае его недоступности управление автоматически перейдет к одному из standby-подов.

Для работы в этом режиме рекомендуем установить и использовать дополнения CSI-S3 или CSI-driver.

Чтобы включить режим HA, в конфигурации дополнения укажите параметры:

• server.dev.enabled: false — отключаем dev-режим;
• server.standalone.enabled: false — отключаем standalone-режим;
• server.ha.enabled: true — включаем HA-режим;
• server.ha.replicas: 3 — указываем количество реплик;
• server.ha.raft.enabled: true — используем встроенное хранилище Raft;
• server.dataStorage.storageClass: csi-s3 — подключаем S3-хранилище через CSI.

После установки кластера с включенным HA-режимом Vault не инициализируется автоматически. Это нужно сделать вручную с помощью CLI.

Для инициализации Vault подключитесь к основному поду (vault-0) :

И выполните команды:

В результате вы получите несколько Unseal Keys и Initial Root Token. Сохраните эти данные в надежном месте — без них восстановить доступ к Vault будет невозможно.

Пример вывода:

По умолчанию создается 5 ключей, из которых требуется минимум 3 для активации хранилища.

После инициализации Vault находится в sealed состоянии. Чтобы запустить кластер, его нужно активировать. Для этого:

1. Подключитесь к каждому поду по очереди (vault-0, vault-1, vault-2).

2. Выполните команду, указав три любых из полученных ключей:

3. Проверьте статус:

Если все прошло успешно, Sealed будет иметь значение false.