Подключиться
Yandex Lockbox

Синхронизация с секретами Yandex Managed Service for Kubernetes

Статья создана

External Secrets Operator позволяет настроить синхронизацию секретов Yandex Lockbox с секретами кластера Managed Service for Kubernetes.

Существует несколько схем интеграции Yandex Lockbox с сервисом Managed Service for Kubernetes. Далее для примера рассматривается схема ESO as a Service:

Чтобы настроить синхронизацию секретов:

  1. Установите External Secrets Operator.
  2. Настройте Yandex Lockbox.
  3. Настройте кластер Kubernetes.
  4. Создайте External Secret.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

  1. Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  2. Установите менеджер пакетов Helm.

  3. Установите утилиту jq:

    sudo apt update && sudo apt install jq

  4. Создайте сервисный аккаунт с именем eso-service-account, необходимый для работы External Secrets Operator.

  5. Создайте авторизованный ключ для сервисного аккаунта и сохраните его в файл authorized-key.json:

    yc iam key create \
  --service-account-name eso-service-account \
  --output authorized-key.json

  6. Создайте кластер Managed Service for Kubernetes и группу узлов любой подходящей конфигурации.

  7. Установите kubectl и настройте его на работу с созданным кластером.

Установите External Secrets Operator

Чтобы установить External Secrets Operator с помощью Cloud Marketplace, воспользуйтесь инструкцией.

  1. Установите менеджер пакетов Helm.

  2. Добавьте Helm-репозиторий external-secrets:

    helm repo add external-secrets https://charts.external-secrets.io

  3. Установите External Secrets Operator в кластер Kubernetes:

helm install external-secrets \
  external-secrets/external-secrets \
  --namespace external-secrets \
  --create-namespace

Примечание

Эта команда создаст новое пространство имен external-secrets, необходимое для работы External Secrets Operator.

Результат выполнения команды:

NAME: external-secrets
LAST DEPLOYED: Sun Sep 19 11:20:58 2021
NAMESPACE: external-secrets
STATUS: deployed
REVISION: 1
TEST SUITE: None
NOTES:
external-secrets has been deployed successfully!
...

Настройте Yandex Lockbox

  1. Создайте секрет:

    • Имяlockbox-secret.
    • Ключ/Значение:
      • Ключpassword.
      • ЗначениеТекстp@$$w0rd.

  2. Получите идентификатор секрета:

    yc lockbox secret list

    Результат выполнения команды:

    +--------------------------------------------+----------------+------------+---------------------+----------------------+--------+
|                     ID                     |      NAME      | KMS KEY ID |     CREATED AT      |  CURRENT VERSION ID  | STATUS |
+--------------------------------------------+----------------+------------+---------------------+----------------------+--------+
| <идентификатор Yandex Lockbox-секрета> | lockbox-secret |            | 2021-09-19 04:33:44 | e6qlkguf0hs4q3i6jpen | ACTIVE |
+--------------------------------------------+----------------+------------+---------------------+----------------------+--------+

  3. Чтобы сервисный аккаунт eso-service-account имел доступ к секрету, присвойте этому аккаунту роль lockbox.payloadViewer:

    yc lockbox secret add-access-binding \
  --name lockbox-secret \
  --service-account-name eso-service-account \
  --role lockbox.payloadViewer

Настройте кластер Kubernetes

  1. Создайте пространство имен ns, в котором будут размещены объекты External Secrets Operator:

    kubectl create namespace ns

  2. Создайте секрет yc-auth, содержащий в себе ключ сервисного аккаунта eso-service-account:

    kubectl --namespace ns create secret generic yc-auth \
  --from-file=authorized-key=authorized-key.json

  3. Создайте хранилище секретов SecretStore, содержащее секрет yc-auth:

    kubectl --namespace ns apply -f - <<< '
apiVersion: external-secrets.io/v1alpha1
kind: SecretStore
metadata:
  name: secret-store
spec:
  provider:
    yandexlockbox:
      auth:
        authorizedKeySecretRef:
          name: yc-auth
          key: authorized-key'

Создайте External Secret

  1. Создайте объект ExternalSecret, указывающий на секрет lockbox-secret в хранилище secret-store:

    kubectl --namespace ns apply -f - <<< '
apiVersion: external-secrets.io/v1alpha1
kind: ExternalSecret
metadata:
  name: external-secret
spec:
  refreshInterval: 1h
  secretStoreRef:
    name: secret-store
    kind: SecretStore
  target:
    name: k8s-secret
  data:
  - secretKey: password
    remoteRef:
      key: <идентификатор Yandex Lockbox-секрета>
      property: password'

    В параметре spec.target.name указано имя нового ключа: k8s-secret. External Secret Operator создаст этот ключ и поместит в него параметры секрета lockbox-secret.

  2. Убедитесь, что новый ключ k8s-secret содержит значение секрета lockbox-secret:

    kubectl --namespace ns get secret k8s-secret \
  --output=json | \
  jq --raw-output ."data"."password" | \
  base64 --decode

    В выводе команды будет содержаться значение ключа password секрета lockbox-secret:

    p@$$w0rd

Удалите созданные ресурсы

Если созданные ресурсы вам больше не нужны, удалите их:

  1. Удалите кластер Managed Service for Kubernetes.
  2. Если вы зарезервировали для кластера публичный статический IP-адрес, удалите его.
  3. Удалите секрет lockbox-secret.
В этой статье: