Для работы Kaspersky Security для контейнеров с внешним хранилищем HashiCorp Vault в конфигурационном файле values.yaml необходимо указать значения следующих конфигурационных параметров:
enabled – флаг включения интеграции с хранилищем. Значение переменной vault.enabled = true указывает на то, что интеграция с HashiCorp Vault осуществлена, значения переменных окружения получаются из хранилища. По умолчанию указано значение false.mountPath – путь монтирования секретов из хранилища Vault в под. По умолчанию указано значение /vault/secrets.role – роль, под которой будет осуществляться аутентификация в хранилище.При создании роли в Vault требуется указать для нее все имеющиеся значения из раздела serviceAccount в файле values.yaml.
agentInitFirst – переменная для определения очереди инициализации init-контейнера. Значение переменной true указывает на то, что под сначала выполняет инициализацию init-контейнера Vault. Это значение необходимо задать, когда другим контейнерам инициализации нужны для работы предварительно загруженные секреты. Если установлено значение false, порядок инициализации контейнеров определяется случайным образом. По умолчанию указано значение true.agentPrePopulate – переменная включения init-контейнера для предварительного заполнения общей памяти секретами перед запуском контейнеров. По умолчанию указано значение true.agentPrePopulateOnly – переменная, которая указывает, будет ли init-контейнер единственным внедренным в под контейнером. Если задано значение true, sidecar-контейнер не добавляется при выполнении пода. По умолчанию установлено значение false.preserveSecretCase – переменная сохранения регистра в именах секретов при создании файлов секретов. По умолчанию установлено значение true.agentInjectPerms – переменная, определяющая права доступа к монтируемому файлу с секретами из хранилища. По умолчанию указано значение 0440 (владелец и группа имеют право на чтение). annotations – инструкции по конфигурации правильной работы sidecar-контейнера. Вы можете добавить инструкции в блок vault для использования всеми компонентами Helm Chart или указать их в разделе Architecture отдельно для каждого компонента, например: kcs-middleware:
enabled: true
appType: deployment
annotations:
vault.hashicorp.com/agent-limits-cpu: 200m