Доступно с ограничениями в редакциях: BE, SE, SE+, EE, CSE Lite (1.73), CSE Pro (1.73)
Стадия жизненного цикла модуля: General Availability
У модуля есть требования для установки
Модуль stronghold в Deckhouse Kubernetes Platform разворачивает Deckhouse Stronghold — хранилище секретов в формате «ключ‑значение», совместимое с Hashicorp Vault API.
Ниже — краткий обзор возможностей продукта; подробная работа с механизмами секретов и API — в полной документации на сайте.
Полная документация
Подробные руководства администратора и пользователя, справка по API и утилитам:
После включения модуля и настройки доступа ориентируйтесь на разделы «Руководство пользователя» и «Руководство администратора».
Быстрый старт
Использование — включение и выключение модуля, доступ через Ingress, типичные ошибки при запуске и работа с ключами.
Основные возможности Stronghold
Модель безопасности и доступ
- политики, идентичности (identity), токены, аренда (lease);
- методы аутентификации: в том числе Kubernetes, OIDC, JWT, LDAP, token, userpass, approle, WebAuthn, SAML — в сочетании с кластерным Dex и внешними IdP.
Механизмы секретов
- KV (v1 и v2), репликация KV между кластерами;
- PKI — динамические сертификаты X.509 с поддержкой ГОСТ;
- Transit — шифрование как сервис;
- SSH — подписанные SSH-сертификаты;
- Cubbyhole, TOTP;
- Kubernetes — привязка к сервис-аккаунтам и ролям;
- LDAP, Identity (OIDC provider и identity tokens);
- Базы данных — выдача учётных данных для PostgreSQL, MySQL/MariaDB, ClickHouse и др.
Эксплуатация и интеграции
- Доставка секретов в приложения — Stronghold Agent и интеграция с модулем
secrets-store-integrationдля внедрения секретов в поды. - Аудит — настройка журналирования и фильтрации;
- Резервное копирование — обзор снимков, автоматические снимки и API;
- Пространства имён (namespaces) — изоляция конфигурации и секретов;
- Плагины — в DKP, локально в репозитории модуля: Плагины;