Михаил Кажемский на DevOpsConf 2025

Vault8s: доставляем секреты из Hashicorp Vault в Kubernetes

Безопасность, DevSecOps

Программный комитет ещё не принял решения по этому докладу

Целевая аудитория

Доклад подойдет тем, кто уже "дорос" для внедрения Hashicorp Vault, живет в кубере и раздумывает над способами доставки секретов из волта до подов.

Тезисы

Hashicorp Vault является стандартом де-факто хранения чувствительных данных. Интегрируется он примерно с чем угодно и, естественно, с другим фактическим стандартом размещения нагрузки - Kubernetes.
Инструментов для интеграции Hashicorp Vault с Kubernetes существует немало и каждый обладает своими примуществами и недостатками, поэтому в докладе рассмотрим и сравним популярные инструментов доставки секретов из Hashicorp Vault:
- External Secrets Operator
- Hashicorp Vault Secrets Operator
- Hashicorp Vault Agent Injector
- Hashicorp Vault CSI Provider
- (Banzai Cloud) Bank Vaults-Vault Secrets Webhook
Для каждого из интрументов приведу пример настройки, рассмотрю как именно доставляется секрет до приложения и принцип работы инструмента. Сравню инструменты с точки зрения механизмов ротации секретов, а также удобства использования. Подсвечу ограничения инструментов.

Михаил Кажемский

Hilbert Team

Ведущий DevOps-инженер.
В прошлом разработчик.
Автор курсов Yandex Cloud — «DevSecOps в облачном CI/CD», «Аутентификация и управление доступами», «Managed Service for ClickHouse», «Масштабирование нагрузки в K8s», "Контейнеризация с Docker".

Hilbert Team

Hilbert Team — IT-интегратор, отраслевой эксперт в области DevOps, DataOps, DevSecOps, FinOps. Сертифицированный партнер Yandex Cloud со специализациями DevOps и Data Platform, а также партнер облачных провайдеров VK Cloud и Selectel. В 2023 году компания стала партнером года Yandex Cloud в двух номинациях «Infra & DevOps» и «Финансы и страхование». Hilbert Team помогает заказчикам мигрировать в облака, проектировать отказоустойчивую IТ-инфраструктуру, оптимизировать инфраструктурные расходы, внедрять инструменты и процессы по обеспечению ИБ, автоматизировать процессы разработки, проектировать и строить корпоративные хранилища и озера данных. Помимо проектной деятельности, эксперты Hilbert Team разрабатывают бесплатные отраслевые курсы для инженеров на Яндекс Практикум по направлениям DevOps, Data и Security.