Documentation updates (#20)

farr-slmn · Suleyman Farrakhov · Lada Lysenko · web-flow · commit ffb1fd8086ef · 2024-12-19T15:14:56.000+03:00
* - swapped vault cli to stronghold

* - replaced cli commands to `d8 stronghold`
- fix secrets-store-integration ModuleConfig
- added disable_local_ca_jwt field for remote kube auth

* text revisions

Signed-off-by: Lada Lysenko &lt;lada.lysenko@flant.com&gt;

* Update docs/USAGE_RU.md

Co-authored-by: Lada7878 &lt;127337005+Lada7878@users.noreply.github.com&gt;
Signed-off-by: Konstantin Nezhbert &lt;zhbert@yandex.ru&gt;

* Update docs/USAGE_RU.md

Co-authored-by: Lada7878 &lt;127337005+Lada7878@users.noreply.github.com&gt;
Signed-off-by: Konstantin Nezhbert &lt;zhbert@yandex.ru&gt;

* Update docs/USAGE_RU.md

Co-authored-by: Lada7878 &lt;127337005+Lada7878@users.noreply.github.com&gt;
Signed-off-by: Konstantin Nezhbert &lt;zhbert@yandex.ru&gt;

* Updates

* Update docs/USAGE_RU.md

Signed-off-by: Artem Kladov &lt;6360800+z9r5@users.noreply.github.com&gt;

---------

Signed-off-by: Lada Lysenko &lt;lada.lysenko@flant.com&gt;
Signed-off-by: Konstantin Nezhbert &lt;zhbert@yandex.ru&gt;
Signed-off-by: Artem Kladov &lt;6360800+z9r5@users.noreply.github.com&gt;
Co-authored-by: Suleyman Farrakhov &lt;suleiman.farrakhov@flant.com&gt;
Co-authored-by: Lada Lysenko &lt;lada.lysenko@flant.com&gt;
Co-authored-by: Konstantin Nezhbert &lt;konstantin.nezhbert@flant.com&gt;
Co-authored-by: Lada7878 &lt;127337005+Lada7878@users.noreply.github.com&gt;
Co-authored-by: Artem Kladov &lt;6360800+z9r5@users.noreply.github.com&gt;
diff --git a/docs/USAGE.md b/docs/USAGE.md
@@ -5,7 +5,7 @@ description: Usage of the secrets-store-integration Deckhouse module.
 
 ## Configuring the module to work with Deckhouse Stronghold
 
-[Enable](../../stronghold/stable/usage.html#how-to-enable-the-module) the Stronghold module beforehand to automatically configure the secrets-store-integration module to work with [Deckhouse Stronghold](../../stronghold/).
+[Enable](../../stronghold/stable/usage.html#how-to-enable-the-module) the Stronghold module beforehand to automatically configure the secrets-store-integration module to work with [Deckhouse Stronghold](../../stronghold/stable/).
 
 Next, apply the `ModuleConfig`:
 
@@ -43,11 +43,12 @@ spec:
       authPath: "main-kube"
       caCert: |
         -----BEGIN CERTIFICATE-----
-        MIIFoTCCA4mgAwIBAgIUX9kFz7OxlBlALMEj8WsegZloXTowDQYJKoZIhvcNAQEL
+        kD8MMYv5NHHko/3jlBJCjVG6cI+5HaVekOqRN9l3D9ZXsdg2RdXLU8CecQAD7yYa
         ................................................................
-        WoR9b11eYfyrnKCYoSqBoi2dwkCkV1a0GN9vStwiBnKnAmV3B8B5yMnSjmp+42gt
-        o2SYzqM=
+        C2ZTJJonuI8dA4qUadvCXrsQqJEa2nw1rql4LfPP5ztJz1SwNCSYH7EmwqW+Q7WR
+        bZ6GhOj=
         -----END CERTIFICATE-----
+    connectionConfiguration: Manual
 ```
 
 **It is strongly recommended to set the `caCert` variable. Otherwise, the module will use system ca-certificates.**
@@ -66,7 +67,7 @@ export VAULT_ADDR=https://secretstoreexample.com
 {{< /alert >}}
 
 > This guide will cover two ways to do this:
->   * using the console version of Stronghold ([Get stronghold cli](#get-stronghold-cli));
+>   * using the console version of Stronghold ([Download the d8 multitool](#download--the-d8-multitool-for-stronghold-commands));
 >   * using curl to make direct requests to the secrets store API.
 
 Before proceeding with the secret injection instructions in the examples below, do the following:
@@ -83,7 +84,7 @@ Example commands to set up the environment:
 * Enable and create the Key-Value store:
 
   ```bash
-  stronghold secrets enable -path=demo-kv -version=2 kv
+  d8 stronghold secrets enable -path=demo-kv -version=2 kv
   ```
   The same command as a curl HTTP request:
 
@@ -98,7 +99,7 @@ Example commands to set up the environment:
 * Set the database username and password as the value of the secret:
 
   ```bash
-  stronghold kv put demo-kv/myapp-secret DB_USER="username" DB_PASS="secret-password"
+  d8 stronghold kv put demo-kv/myapp-secret DB_USER="username" DB_PASS="secret-password"
   ```
   The curl equivalent of the above command:
 
@@ -113,9 +114,9 @@ Example commands to set up the environment:
 * Double-check that the password has been saved successfully:
 
   ```bash
-  stronghold kv get demo-kv/myapp-secret
+  d8 stronghold kv get demo-kv/myapp-secret
   ```  
-  
+
   The curl equivalent of the above command:
   ```bash
   curl \
@@ -126,7 +127,7 @@ Example commands to set up the environment:
 * By default, the method of authentication in Stronghold via Kubernetes API of the cluster on which Stronghold itself is running is enabled and configured under the name `kubernetes_local`. If you want to configure access via remote clusters, set the authentication path (`authPath`) and enable authentication and authorization in Stronghold via Kubernetes API for each cluster:
 
   ```bash
-  stronghold auth enable -path=remote-kube-1 kubernetes
+  d8 stronghold auth enable -path=remote-kube-1 kubernetes
   ```
   The curl equivalent of the above command:
   ```bash
@@ -140,22 +141,23 @@ Example commands to set up the environment:
 * Set the Kubernetes API address for each cluster (in this case, it is the K8s's API server service):
 
   ```bash
-  stronghold write auth/remote-kube-1/config \
+  d8 stronghold write auth/remote-kube-1/config \
     kubernetes_host="https://api.kube.my-deckhouse.com"
+    disable_local_ca_jwt=true
   ```
   The curl equivalent of the above command:
   ```bash
   curl \
     --header "X-Vault-Token: ${VAULT_TOKEN}" \
     --request PUT \
-    --data '{"kubernetes_host":"https://api.kube.my-deckhouse.com"}' \
+    --data '{"kubernetes_host":"https://api.kube.my-deckhouse.com","disable_local_ca_jwt":true}' \
     ${VAULT_ADDR}/v1/auth/remote-kube-1/config
   ```
 
 * Create a policy in Stronghold called `myapp-ro-policy` that allows reading of the `myapp-secret` secret:
 
   ```bash
-  stronghold policy write myapp-ro-policy - <<EOF
+  d8 stronghold policy write myapp-ro-policy - <<EOF
   path "demo-kv/data/myapp-secret" {
     capabilities = ["read"]
   }
@@ -180,7 +182,7 @@ Example commands to set up the environment:
   {{< /alert >}}
 
   ```bash
-  stronghold write auth/kubernetes_local/role/myapp-role \
+  d8 stronghold write auth/kubernetes_local/role/myapp-role \
       bound_service_account_names=myapp-sa \
       bound_service_account_namespaces=myapp-namespace \
       policies=myapp-ro-policy \
@@ -199,7 +201,7 @@ Example commands to set up the environment:
 * Repeat the same for the rest of the clusters, specifying a different authentication path:
 
   ```bash
-  stronghold write auth/remote-kube-1/role/myapp-role \
+  d8 stronghold write auth/remote-kube-1/role/myapp-role \
       bound_service_account_names=myapp-sa \
       bound_service_account_namespaces=myapp-namespace \
       policies=myapp-ro-policy \
@@ -215,10 +217,10 @@ Example commands to set up the environment:
   ```
 
 
-  {{< alert level="info">}}
-  **Important!**  
-  The recommended TTL value of the Kubernetes token is 10m.
-  {{< /alert >}}
+{{< alert level="info">}}
+**Important!**  
+The recommended TTL value of the Kubernetes token is 10m.
+{{< /alert >}}
 
 These settings allow any pod within the `myapp-namespace` namespace in both K8s clusters that uses the `myapp-sa` ServiceAccount to authenticate, authorize, and read secrets in the Stronghold according to the `myapp-ro-policy` policy.
 
@@ -510,12 +512,31 @@ A container that uses the `subPath` volume mount will not get secret updates whe
        secretsStoreImport: "python-backend"
 ```
 
-## Get stronghold cli
+## Download the d8 multitool for stronghold commands
 
-On the cluster's master node, run the following commands as `root`:
-```bash
-mkdir $HOME/bin
-sudo cp /proc/$(pidof stronghold)/root/usr/bin/stronghold bin && sudo chmod a+x bin/stronghold
-export PATH=$PATH:$HOME/bin
-```
-As a result, the command `stronhold` is ready to be used.
+### Official website of Deckhouse Kubernetes Platform
+
+Go to the official website and follow the [instructions](https://deckhouse.io/products/kubernetes-platform/documentation/v1/deckhouse-cli/#how-do-i-install-deckhouse-cli).
+
+### The subdomain of your Deckhouse Kubernetes Platform
+
+To download the multitool:
+1. Go to the page `tools.<cluster_domain>`, where `<cluster_domain>` is the DNS name that matches the template defined in the [modules.publicDomainTemplate](deckhouse-configure-global.html#parameters-modules-publicdomaintemplate) parameter.
+
+2. Select *Deckhouse CLI* for your operating system.
+1. **For Linux and MacOS:**
+  - Add execution rights to `d8` via `chmod +x d8`.
+  - Move the executable file to the `/usr/local/bin/` folder.
+
+   **For Windows:**
+  - Extract the archive, move the `d8.exe` file to a directory of your choice, and add the directory to PATH variable of the operating system.
+  - Unblock the `d8.exe file`, for example, in the following way:
+    - Right-click on the file and select *Properties* from the context menu.
+    - In the *Properties* window, ensure you are on the *General* tab.
+    - At the bottom of the *General* tab, you may see a *Security* section with a message about the file being blocked.
+    - Check the *Unblock* box or click the *Unblock* button, then click *Apply* and *OK* to save the changes.
+1. Check that the utility works:
+    ```
+    d8 help
+    ```
+Congrats, you have successfully installed the `d8 stronhold`.
diff --git a/docs/USAGE_RU.md b/docs/USAGE_RU.md
@@ -5,7 +5,7 @@ description: Использование модуля secrets-store-integration.
 
 ## Настройка модуля для работы c Deckhouse Stronghold
 
-Для автоматической настройки работы модуля secrets-store-integration в связке с модулем [Deckhouse Stronghold](../../stronghold/) потребуется ранее [включенный](../../stronghold/stable/usage.html#%D0%BA%D0%B0%D0%BA-%D0%B2%D0%BA%D0%BB%D1%8E%D1%87%D0%B8%D1%82%D1%8C) и настроенный Stronghold.
+Для автоматической настройки работы модуля secrets-store-integration в связке с модулем [Deckhouse Stronghold](../../stronghold/stable/) потребуется ранее [включенный](../../stronghold/stable/usage.html#%D0%BA%D0%B0%D0%BA-%D0%B2%D0%BA%D0%BB%D1%8E%D1%87%D0%B8%D1%82%D1%8C) и настроенный Stronghold.
 
 Далее достаточно применить следующий ресурс:
 
@@ -65,7 +65,7 @@ export VAULT_ADDR=https://secretstoreexample.com
 ```
 {{< /alert >}}
 
-> В этом руководстве мы приводим два вида примерных команд: 
+> В этом руководстве мы приводим два вида примерных команд:
 >   * команда с использованием консольной версии Stronghold ([Как получить бинарный файл stronghold](#как-получить-бинарный-файл-stronghold));
 >   * команда с использованием curl для выполнения прямых запросов в API secrets store.
 
@@ -115,7 +115,7 @@ export VAULT_ADDR=https://secretstoreexample.com
   ```bash
   stronghold kv get demo-kv/myapp-secret
   ```  
-  
+
   Команда с использованием curl:
   ```bash
   curl \
@@ -215,10 +215,10 @@ export VAULT_ADDR=https://secretstoreexample.com
   ```
 
 
-  {{< alert level="info">}}
-  **Важно!**  
-  Рекомендованное значение TTL для токена Kubernetes составляет 10m.
-  {{< /alert >}}
+{{< alert level="info">}}
+**Важно!**  
+Рекомендованное значение TTL для токена Kubernetes составляет 10m.
+{{< /alert >}}
 
 Эти настройки позволяют любому поду из пространства имён `myapp-namespace` из обоих K8s-кластеров, который использует ServiceAccount `myapp-sa`, аутентифицироваться и авторизоваться в Stronghold для чтения секретов согласно политике `myapp-ro-policy`.
 
@@ -230,10 +230,10 @@ export VAULT_ADDR=https://secretstoreexample.com
 
 ## Как разрешить ServiceAccount авторизоваться в Stronghold?
 
-Для авторизации в Stronghold, Pod использует токен, сгенерированный для своего ServiceAccount. Для того чтобы Stronghold мог проверить валидность предоставляемых данных ServiceAccount используемый сервисом, Stronghold должен иметь разрешение на действия `get`, `list` и `watch`  для endpoints `tokenreviews.authentication.k8s.io` и `subjectaccessreviews.authorization.k8s.io`. Для этого также можно использовать clusterRole `system:auth-delegator`. 
+Для авторизации в Stronghold Pod использует токен, сгенерированный для своего ServiceAccount'а. Для того чтобы Stronghold мог проверить валидность предоставляемых данных `ServiceAccount`, используемый сервисом Stronghold должен иметь разрешение на действия `get`, `list` и `watch`  для endpoints `tokenreviews.authentication.k8s.io` и `subjectaccessreviews.authorization.k8s.io`. Для этого также можно использовать clusterRole `system:auth-delegator`.
 
 Stronghold может использовать различные авторизационные данные для осуществления запросов в API Kubernetes:
-1. Использовать токен приложения, которое пытается авторизоваться в Stronghold. В этом случае для каждого сервиса авторизующейся в Stronghold требуется в используемом ServiceAccount иметь clusterRole `system:auth-delegator` (либо права на API представленные выше). 
+1. Использовать токен приложения, которое пытается авторизоваться в Stronghold. В этом случае для каждого сервиса, авторизующегося в Stronghold, требуется в используемом ServiceAccount'е иметь clusterRole `system:auth-delegator` (либо права на API представленные выше).
 2. Использовать статичный токен отдельно созданного специально для Stronghold `ServiceAccount` у которого имеются необходимые права. Настройка Stronghold для такого случая подробно описана в [документации Vault](https://developer.hashicorp.com/vault/docs/auth/kubernetes#continue-using-long-lived-tokens).
 
 ## Инжектирование переменных окружения
@@ -506,12 +506,30 @@ for {
        secretsStoreImport: "python-backend"
 ```
 
-## Как получить бинарный файл stronghold
-
-На мастер-ноде кластера необходимо выполнить следующие команды через `root` пользователя:
-```bash
-mkdir $HOME/bin
-sudo cp /proc/$(pidof stronghold)/root/usr/bin/stronghold bin && sudo chmod a+x bin/stronghold
-export PATH=$PATH:$HOME/bin
-```
-Команда `stronhold` готова к использованию.
+## Скачать мультитул d8 для команд Stronghold
+
+### Официальный сайт Deckhouse Kubernetes Platform
+
+Перейдите на официальный сайт и воспользуйтесь [инструкцией](https://deckhouse.ru/products/kubernetes-platform/documentation/v1/deckhouse-cli/#как-установить-deckhouse-cli)
+
+### Субдомен вашей Deckhouse Kubernetes Platform
+
+Для скачивания мультитула:
+1. Перейдите на страницу `tools..<cluster_domain>`, где `<cluster_domain>` — DNS-имя в соответствии с шаблоном из параметра [modules.publicDomainTemplate](deckhouse-configure-global.html#parameters-modules-publicdomaintemplate) глобальной конфигурации.
+1. Выберите Deckhouse CLI для вашей операционной системы.
+1. **Для Linux и MacOS:**
+   - Добавьте права на выполнение `d8` через `chmod +x d8`.
+   - Переместите исполняемый файл в каталог `/usr/local/bin/`.
+
+   **Для Windows:**
+    - Распакуйте архив, переместите файл `d8.exe` в выбранный вами каталог и добавьте этот каталог в переменную $PATH операционной системы.
+    - Разблокируйте файл `d8.exe`, например, следующим способом:
+       - Щелкните правой кнопкой мыши на файле и выберите *Свойства* в контекстном меню.
+       - В окне *Свойства* убедитесь, что находитесь на вкладке *Общие*.
+       - Внизу вкладки *Общие* вы можете увидеть раздел *Безопасность* с сообщением о блокировке файла.
+       - Установите флажок *Разблокировать* или нажмите кнопку *Разблокировать*, затем нажмите *Применить* и *ОК*, чтобы сохранить изменения.
+4. Проверьте, что утилита работает:
+    ```
+    d8 help
+    ```
+Готово, вы установили `d8 stronghold`.
