Docs: injector

Signed-off-by: Maksim Kiselev <[email protected]>

docs/USAGE_RU.md

@@ -52,15 +52,42 @@ spec:
 
 **Крайне рекомендуется задавать переменную caCert. Если она не задана, будет использовано содержимое системного ca-certificates.**
 
-### ВАЖНО
+## Подготовка тестового окружения
 
 Для использования иструкций по инжектированию секретов из примеров ниже вам понадобится:
 
 1. Создать в Stronhold секрет типа kv2 по пути `secret/myapp` и поместить туда значения `DB_USER` и `DB_PASS`
 2. Создать в Stronhold политику, разрешающую чтение секретов по пути `secret/myapp`
 3. Создать в Stronhold роль `myapp` для сервис-аккаунта `myapp` в неймспейсе `my-namespace` и привязать к ней созданную ранее политику
+4. Создать в кластере неймспейс `my-namespace`
+5. Создать в созданном неймспейсе сервис-аккаунт `myapp`
 
-## Инжектирование переменных окружения из Stronghold:
+Пример команд, с помощью которых можно подготовить окружение
+
+```bash
+stronghold secrets enable -path=secret -version=2 kv
+
+stronghold kv put secret/myapp DB_USER="username"
+stronghold kv put secret/myapp DB_PASS="secret-password"
+
+stronghold policy write myapp - <<EOF
+path "secret/data/myapp" {
+  capabilities = ["read"]
+}
+EOF
+
+stronghold write auth/kubernetes_local/role/myapp \
+    bound_service_account_names=myapp \
+    bound_service_account_namespaces=default \
+    policies=myapp \
+    ttl=60s
+
+kubectl create namespace my-namespace
+
+kubectl -n my-namespace create serviceaccount myapp
+```
+
+## Инжектирование переменных окружения
 
 ### Как работает
 
@@ -116,13 +143,6 @@ envFrom:
 
 ### Подключение переменных из ветки хранилища (всех ключей одного секрета)
 
-Для использования примеров ниже создадим неймспейс и сервис-аккаунт для приложения.
-
-```bash
-kubectl create namespace my-namespace
-kubectl -n my-namespace create serviceaccount myapp
-```
-
 Создадим под с названием `myapp1`, который подключит все переменные из хранилища по пути `secret/data/myapp`:
 
 ```yaml