diff --git a/ordinis-projection-writer/src/main/resources/application.yml b/ordinis-projection-writer/src/main/resources/application.yml index 0c12dcb..90f7b8d 100644 --- a/ordinis-projection-writer/src/main/resources/application.yml +++ b/ordinis-projection-writer/src/main/resources/application.yml @@ -100,21 +100,19 @@ spring: on-profile: k8s import: - "configserver:${SPRING_CLOUD_CONFIG_URI:http://config-server.ordinis-staging:8888}" - - "vault://" cloud: config: enabled: true + # Spring Cloud Vault как config source отключён намеренно: креды (postgres, + # kafka, redis) приходят через Vault Agent injector в env-переменные ещё + # до старта JVM. Если включить kv-source с application-name=ordinis/cuod, + # Spring пытается читать secret/data/ordinis/cuod/k8s — путь для которого + # ни одна из ролей (ordinis-app/read-api/projection-writer) не имеет + # capabilities=read, и projection-writer падает на этом 403 в bootstrap. + # writer/read-api тот же 403 ловят, но молча проглатывают (бin Lifecycle + # отличается). Чистый путь — не использовать kv-source совсем. vault: - enabled: true - uri: ${VAULT_URI:http://vault.config:8200} - authentication: KUBERNETES - kubernetes: - role: ordinis-projection-writer - service-account-token-file: /var/run/secrets/kubernetes.io/serviceaccount/token - kv: - enabled: true - backend: secret - application-name: ordinis/cuod + enabled: false datasource: url: jdbc:postgresql://${ORDINIS_PG_HOST}:${ORDINIS_PG_PORT:5432}/${ORDINIS_PG_DB:ordinis} username: ${ORDINIS_PG_USER}