Установка External Secrets Operator с поддержкой Yandex Lockbox

External Secrets Operator — оператор Kubernetes, который интегрирует внешние системы управления секретами, такие как Yandex Lockbox, AWS Secrets Manager, Azure Key Vault, HashiCorp Vault, Google Secrets Manager и другие. Оператор считывает информацию из внешних API и автоматически вводит значения в Kubernetes Secret.

External Secrets Operator с поддержкой Yandex Lockbox позволяет настроить синхронизацию секретов Yandex Lockbox с секретами кластера Kubernetes.

Создание сервисного аккаунта

1. Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

   По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

2. Создайте сервисный аккаунт, необходимый для работы External Secrets Operator.

3. Создайте для него авторизованный ключ и сохраните его в файл sa-key.json:

   yc iam key create \
     --service-account-name <имя сервисного аккаунта> \
     --output sa-key.json
   

Установка External Secrets Operator с помощью Yandex Cloud Marketplace

1. Перейдите на страницу каталога и выберите сервис Managed Service for Kubernetes.
2. Нажмите на имя нужного кластера и выберите вкладку Marketplace.
3. В разделе Доступные для установки приложения выберите External Secrets Operator с поддержкой Yandex Lockbox и нажмите кнопку Использовать.
4. Задайте настройки приложения:
   • Пространство имен — выберите пространство имен или создайте новое.
   • Название приложения — укажите название приложения.
   • Идентификатор каталога — укажите идентификатор каталога.
   • Идентификатор кластера — укажите идентификатор кластера.
   • Ключ сервисной учетной записи — вставьте содержимое файла sa-key.json.
5. Нажмите кнопку Установить.

Установка с помощью Helm-чарта

1. Установите менеджер пакетов Helm версии не ниже 3.7.0.

2. Для установки Helm-чарта с приложением External Secrets Operator выполните команду:

   export HELM_EXPERIMENTAL_OCI=1 && \
   helm pull oci://cr.yandex/yc-marketplace/yandex-cloud/external-secrets/chart/external-secrets \
     --version <версия Helm-чарта> \
     --untar && \
   helm install \
     --namespace <пространство имен> \
     --create-namespace \
     --set-file auth.json=sa-key.json \
     external-secrets ./external-secrets
   

   Актуальную версию Helm-чарта можно посмотреть на странице приложения.

   Эта команда создаст новое пространство имен, необходимое для работы External Secrets Operator.

См. также

• Описание External Secrets Operator.
• Документация Yandex Lockbox.