enable

2026-01-22 20:53:53 +01:00
parent cb8b05ddc1
commit 74de187ee7
8 changed files with 319 additions and 0 deletions
--- a/helm/cert-manager-webhook-ovh/ops/values.yaml
+++ b/helm/cert-manager-webhook-ovh/ops/values.yaml
@@ -84,3 +84,44 @@ cert-manager-webhook-ovh:
      # Important pour vos domaines spécifiques
      # Note : Vérifiez si votre chart supporte les selectors via values, 
      # sinon il faudra peut-être patcher le template.
+
+# Configuration External Secrets Operator - Stratégie Multi-Namespace
+# Cette configuration permet de partager les secrets OVH entre cert-manager-ops et cert-manager-webhook-ovh-ops
+# en utilisant un ClusterSecretStore et des ExternalSecrets dans chaque namespace
+externalSecret:
+  enabled: false  # Activez cette option pour utiliser External Secrets
+  refreshInterval: "1h"  # Intervalle de rafraîchissement du secret
+  secretName: "cert-manager-webhook-ovh"  # Nom du Secret créé dans chaque namespace
+  
+  # Références aux clés dans Vault
+  remoteRef:
+    applicationKey: ""  # Chemin/clef dans Vault pour application-key (ex: "secret/data/ovh#application-key")
+    applicationSecret: ""  # Chemin/clef dans Vault pour application-secret (ex: "secret/data/ovh#application-secret")
+    consumerKey: ""  # Chemin/clef dans Vault pour consumer-key (ex: "secret/data/ovh#consumer-key")
+  
+  # Configuration HashiCorp Vault
+  vault:
+    secretStoreName: "vault-backend"  # Nom du ClusterSecretStore à créer
+    server: "https://vault.example.com:8200"  # URL de votre serveur Vault
+    path: "secret"  # Chemin du secret engine (secret, kv, etc.)
+    version: "v2"  # Version de l'API KV (v1 ou v2)
+    auth:
+      # Authentification Kubernetes (recommandé pour la stratégie Multi-Namespace)
+      kubernetes:
+        mountPath: "kubernetes"  # Chemin du mount Kubernetes dans Vault
+        role: ""  # Nom du rôle Vault configuré pour Kubernetes auth
+        # Le ServiceAccount doit être autorisé dans les namespaces cert-manager-ops et cert-manager-webhook-ovh-ops
+        serviceAccountRef:
+          name: "cert-manager-webhook-ovh-sa"  # ServiceAccount utilisé pour l'authentification
+          namespace: "cert-manager-webhook-ovh-ops"  # Namespace du ServiceAccount
+      # Alternative : Authentification par token
+      # token:
+      #   secretName: "vault-token"  # Nom du Secret contenant le token
+      #   secretKey: "token"  # Clé dans le Secret
+      # Alternative : Authentification AppRole
+      # appRole:
+      #   path: "approle"
+      #   roleId: ""  # Role ID
+      #   secretRef:
+      #     name: "vault-approle-secret"  # Secret contenant le Secret ID
+      #     key: "secretId"