Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision Next revisionBoth sides next revision | ||
devops:hashicorp_vault_workflow [2020/08/12 22:42] – [Автоматическое обновление сертификатов с помощью consul-template] admin | devops:hashicorp_vault_workflow [2020/08/13 10:21] – [Автоматическое обновление сертификатов с помощью consul-template] admin | ||
---|---|---|---|
Line 294: | Line 294: | ||
* в деплойменте прикладного пода (nginx) прописываются два дополнительных контейнера. Первый - init-контейнер vault-agent, | * в деплойменте прикладного пода (nginx) прописываются два дополнительных контейнера. Первый - init-контейнер vault-agent, | ||
* Для того, чтобы все работало в Vault должна быть заведена политика, | * Для того, чтобы все работало в Vault должна быть заведена политика, | ||
- | Создадим файл политики: | + | Создадим файл политики, которая разрешить выпуск сертификатов с помощью промежуточного CA: |
< | < | ||
path " | path " | ||
Line 300: | Line 300: | ||
} | } | ||
EOF</ | EOF</ | ||
- | скопируем | + | скопируем |
kubectl -n vault cp cert_issue_policy.hcl vault-0:/ | kubectl -n vault cp cert_issue_policy.hcl vault-0:/ | ||
- | и создадим с его помощью политику: | + | и создадим с него помощью политику: |
kubectl -n vault exec -it vault-0 -- vault policy write cert-issue-policy / | kubectl -n vault exec -it vault-0 -- vault policy write cert-issue-policy / | ||
- | а также - создаим роль в vault: | + | а также - создадим роль в **vault**, которую привяжем к ServiceAccount (с правами которого будет работать pod) и назначим этой роли созданную ранее политику, |
kubectl -n vault exec -it vault-0 -- vault write auth/ | kubectl -n vault exec -it vault-0 -- vault write auth/ | ||
+ | | ||
+ | https:// | ||
+ | https:// |