Для управления секретами в Kubernetes часто используется HashiCorp Vault. ArgoCD Vault Plugin позволяет напрямую внедрять секреты из Vault в манифесты Kubernetes. Однако, при использовании helm-чартов и плагина в связке, могут возникнуть проблемы с расшифровкой секретов из-за особенностей работы helm template. Это может привести к неработоспособности приложений.
При прямом развертывании приложения через ArgoCD, сначала происходит рендеринг helm-шаблона, который может включать в себя такие операции, как urlquery, что экранирует специальные символы, включая синтаксис плагина ArgoCD. После этого плагин не может распознать путь к секрету и корректно его расшифровать. В результате в Kubernetes Secret попадает не само значение, а экранированная строка пути до секрета.
Использование паттерна App of Apps позволяет решить эту проблему. В этом случае, сначала разворачивается родительское приложение, в котором расшифровываются секреты. А уже потом, дочерние приложения получают корректные значения. Такой подход обходит проблему экранирования, потому что секреты расшифровываются на этапе формирования родительского приложения, до рендеринга дочерних helm-шаблонов.
Таким образом, при использовании ArgoCD Vault Plugin с helm-чартами, следует учитывать порядок обработки манифестов, и если возникает проблема экранирования, то стоит рассмотреть использование паттерна App of Apps. Он дает возможность корректно расшифровать секреты и избежать проблем с неработоспособностью приложений.
Изображение носит иллюстративный характер
При прямом развертывании приложения через ArgoCD, сначала происходит рендеринг helm-шаблона, который может включать в себя такие операции, как urlquery, что экранирует специальные символы, включая синтаксис плагина ArgoCD. После этого плагин не может распознать путь к секрету и корректно его расшифровать. В результате в Kubernetes Secret попадает не само значение, а экранированная строка пути до секрета.
Использование паттерна App of Apps позволяет решить эту проблему. В этом случае, сначала разворачивается родительское приложение, в котором расшифровываются секреты. А уже потом, дочерние приложения получают корректные значения. Такой подход обходит проблему экранирования, потому что секреты расшифровываются на этапе формирования родительского приложения, до рендеринга дочерних helm-шаблонов.
Таким образом, при использовании ArgoCD Vault Plugin с helm-чартами, следует учитывать порядок обработки манифестов, и если возникает проблема экранирования, то стоит рассмотреть использование паттерна App of Apps. Он дает возможность корректно расшифровать секреты и избежать проблем с неработоспособностью приложений.
