Comments 8
Для большинства приложений и фреймворков без разницы откуда получать данные, более того, большинство «из коробки» именно из файла получает конфиг, а уже потом разработчики прикручивают переменные окружения, с разными параметрами и секретами, просто потому что им так кажется удобней/привычней.
Поэтому, тут скорее вопрос вкусов, кому как больше нравится работать, тот так и делает.
а был ли опыт на установки на openshift 3 ?
К сожалению, нет, с 4 всё ок
спасибо, на openshift 3 есть некоторые трудности с безопасностью если включить по данному способу.
Поделитесь, пожалуйста, в чем именно у вас была проблема?
при использовании команды kubectl patch для применения аннотаций к существующему объекту Pod, они НЕ были перехвачены службой webhook vault-k8s и НЕ создавались правильные контейнеры init и sidecar вместе с запрошенными секретами .
Нашел похожий issue https://github.com/hashicorp/vault-k8s/issues/32 , где:
I found the issue: as I'm running on OpenShift 3.11 (Kubernetes 1.11), the API config had to be changed so it supports admission controllers.
MutatingAdmissionWebhook:
configuration:
apiVersion: v1
disable: false
kind: DefaultAdmissionConfig
ValidatingAdmissionWebhook:
configuration:
apiVersion: v1
disable: false
kind: DefaultAdmissionConfig
This block must be present in the master-config.yml in the section admissionConfig.pluginConfig
. After restarting the apiserver, the webhook started to kick in. But the sidecar was still not injected, because of some permission issues. Granting the consumer app's service account cluster-admin permissions or access to the privileged SCC (equivalent of PSP) helped, but then also introduces other security issues.
что для нас было было неприемлемо.
Возможно есть другие варианты.
Инъекция секретов из Vault в поды используя сайдкары Kubernetes