Hashicorp Vault является де-факто стандартом хранения чувствительных данных. Интегрируется он примерно с чем угодно и, естественно, с другим фактическим стандартом размещения нагрузки — Kubernetes.

Инструментов для интеграции Hashicorp Vault с Kubernetes существует немало, и каждый обладает своими преимуществами и недостатками, поэтому в докладе я рассмотрю и сравню популярные инструменты доставки секретов из Hashicorp Vault:
* External Secrets Operator;
* Hashicorp Vault Secrets Operator;
* Hashicorp Vault Agent Injector;
* Hashicorp Vault CSI Provider;
* (Banzai Cloud) Bank Vaults-Vault Secrets Webhook.

Для каждого из инструментов приведу пример настройки, рассмотрю, как именно доставляется секрет до приложения и принцип работы инструмента. Сравню инструменты с точки зрения механизмов ротации секретов, а также удобства использования. Подсвечу ограничения инструментов.