Связаться с экспертомПопробовать бесплатно

External Secrets Operator с поддержкой Yandex Lockbox

Обновлено 22 мая 2026 г.

External Secrets Operator — оператор Kubernetes, который интегрирует внешние системы управления секретами, такие как Yandex Lockbox, AWS Secrets Manager, HashiCorp Vault, Google Secrets Manager, Azure Key Vault и многие другие. Оператор считывает информацию из внешних API и автоматически вводит значения в Kubernetes Secret.

External Secrets Operator с поддержкой Yandex Lockbox позволяет настроить синхронизацию секретов Yandex Lockbox с секретами кластера Managed Service for Kubernetes.

Важно

Используются ресурсы с apiVersion: external-secrets.io/v1.

Инструкция по развертыванию
  1. Создайте сервисный аккаунт, необходимый для работы External Secrets Operator:
yc iam service-account create --name eso-service-account
  1. Создайте авторизованный ключ для сервисного аккаунта и сохраните его в файл:
yc iam key create --service-account-name eso-service-account --output authorized-key.json
  1. (Опционально) Назначьте сервисному аккаунту роль lockbox.editor для полного доступа ко всем секретам каталога:
yc resource-manager folder add-access-binding --id=<идентификатор каталога> --service-account-name eso-service-account --role lockbox.editor
  1. Задайте настройки External Secrets Operator:
  • Пространство имен — выберите пространство имен, отличное от default, или создайте новое. Если вы выберете пространство имен по умолчанию, External Secrets Operator может работать некорректно.
  • Название приложения — укажите название приложения.
  • Ключ сервисной учетной записи — вставьте содержимое файла с авторизованным ключом.
  1. Нажмите кнопку Установить.
  2. Дождитесь перехода приложения в статус Deployed.

После установки продукта:

  1. Создайте секреты в Yandex Lockbox.
  2. Создайте хранилище секретов ClusterSecretStore:
kubectl apply -f - <<< "
apiVersion: external-secrets.io/v1
kind: ClusterSecretStore
metadata:
name: cluster-secret-store
spec:
provider:
    yandexlockbox:
    auth:
        authorizedKeySecretRef:
        name: sa-creds
        namespace: << пространство имён, в которое установлен продукт >>
        key: key"
  1. Настройте секреты в Kubernetes, создав объект ExternalSecret с указанием:
  • идентификатора секрета;
  • ClusterSecretStore с именем cluster-secret-store.

Подробнее о синхронизации секретов Yandex Lockbox с секретами кластера Managed Service for Kubernetes.

Тип тарификации
Free
Тип
Приложение Kubernetes®
Категория
Безопасность
Администрирование и DevOps
Издатель
Yandex Cloud
Примеры использования
  • Синхронизация секретов из внешних API в Kubernetes.
  • Использование секретов для мультитенантных развертываний.
Полезные ссылки
External Secrets OperatorДокументация Yandex Managed Service for KubernetesДокументация Yandex LockboxСинхронизация с секретами Yandex Lockbox
Техническая поддержка

Служба технической поддержки Yandex Cloud отвечает на запросы 24 часа в сутки, 7 дней в неделю. Доступные виды запросов и срок их обработки зависят от тарифного плана. Подключить платную поддержку можно в консоли управления. Подробнее о порядке оказания технической поддержки.

Состав продукта
Helm-чартВерсия
Pull-команда
Документация
yandex-cloud/external-secrets/charts/external-secrets2.5.0Открыть
Docker-образВерсия
Pull-команда
yandex-cloud/external-secrets/external-secrets1779378317243855168639071094013110335283793726804v2.5.0
Идентификаторы продукта
Продукт:
f2ea963gf3br64l8p15u
Лицензионное соглашение
Используя данный продукт, вы соглашаетесь с Условиями использования Yandex Cloud Marketplace и с условиями использования следующих продуктов: External Secrets
Тип тарификации
Free
Тип
Приложение Kubernetes®
Категория
Безопасность
Администрирование и DevOps
Издатель
Yandex Cloud