Управление секретами и сертификатами в платформе AIOps.

Хранение секретов

• Vault (HashiCorp Vault) — центральное хранилище секретов: пароли БД, Redis, Kafka, API-ключи, JWT signing keys. Доступ по политикам и ролям.
• В Kubernetes: секреты не хранятся в репозитории; подаются в кластер через External Secrets Operator (синхронизация из Vault) или через CI/CD с ограниченным доступом.
• В приложениях: сервисы получают секреты через переменные окружения или смонтированные файлы (из K8s Secrets); в коде и логах секреты не попадают.

Сертификаты

• TLS для ingress/API Gateway: выдача и продление через cert-manager; при использовании Vault — Vault Issuer для автоматического получения сертификатов.
• JWT signing keys: хранятся в Vault; ротация по политике без простоя (поддержка двух ключей при смене).
• mTLS между сервисами (при необходимости): сертификаты сервисов из Vault или встроенных механизмов K8s.

Ротация

• Пароли БД, Redis, Kafka и др. ротируются по политике; после смены в Vault синхронизация в K8s (External Secrets); при необходимости перезапуск подов для подхвата новых значений.
• Документация по ротации и процедурам — в runbook’ах; см. также Security Architecture / Secrets Management.

Связанные страницы

• Security Architecture / Secrets Management — детали интеграции с Vault
• Infrastructure Overview — обзор инфраструктуры
• Backend / API Guidelines — не логировать секреты