Авторизация контейнеров/PODов в Hashicorp Vault

Задача - использовать сервисные аккаунты кубернетиса для авторизации а Hashicorp Vault

Схема работы

1. Создается сервисный аккаунт 2. Запускается POD с этим сервисным аккаунтом 3. Под получает адрес Vault (в моем случае - вычитывает из Consul но это не принципиально) 4. Авторизуется в Vault под определенной ролью используя JWT 5 Vault возвращает токе с политиками назначенными на роль 5. POD читает из Vault используя полученный токен

Ссылки