Size: a a a

DevOps — русскоговорящее сообщество

2020 November 18

P

Petro in DevOps — русскоговорящее сообщество
а доступ по ролям
источник

AD

Alex Demidov in DevOps — русскоговорящее сообщество
Sergey Zhuravlev
то есть вместо закладывания в image переменных окружения с секретами мы пробрасываем volume Значит храним секреты на хосте?
Если у вас масштаб docker-compose то на хосте. Но по хорошему в Vault
источник

P

Petro in DevOps — русскоговорящее сообщество
Petro
а доступ по ролям
а роли контенйерам могут быть через KIAM/итд. даны
источник

P

Petro in DevOps — русскоговорящее сообщество
если контейнеры просто в докере - у хоста значит роль
источник

SZ

Sergey Zhuravlev in DevOps — русскоговорящее сообщество
хм...да, масштаб компоста. Мы не используем облака, все свое строго. Почитаю про роли контейнеров. А могу я нечто похожее реализовать с Passbolt Vault? Чтоб туда лез контейнер за учетками?
источник

AD

Alex Demidov in DevOps — русскоговорящее сообщество
Sergey Zhuravlev
хм...да, масштаб компоста. Мы не используем облака, все свое строго. Почитаю про роли контейнеров. А могу я нечто похожее реализовать с Passbolt Vault? Чтоб туда лез контейнер за учетками?
можете наскриптовать вытягивание секретов откуда угодно в  entrypoint
источник

SZ

Sergey Zhuravlev in DevOps — русскоговорящее сообщество
Alex Demidov
можете наскриптовать вытягивание секретов откуда угодно в  entrypoint
При таком подходе я просто не совсем понимаю чем это безопаснее хранения .env в репе
источник

P

Petro in DevOps — русскоговорящее сообщество
> Мы не используем облака, все свое строго

Ну тогда грусть-печать и нужно определять что является "trusted ID" в данной системе и от типа этого ID отталкиваться
источник

P

Petro in DevOps — русскоговорящее сообщество
Sergey Zhuravlev
При таком подходе я просто не совсем понимаю чем это безопаснее хранения .env в репе
ладно, храни 🙂 только .env сначала зашифруй
источник

P

Petro in DevOps — русскоговорящее сообщество
источник

AD

Alex Demidov in DevOps — русскоговорящее сообщество
Sergey Zhuravlev
При таком подходе я просто не совсем понимаю чем это безопаснее хранения .env в репе
область расползания секретов ограничена хостом. А в репе - у вас секреты расползутся по всем разработчикам и однажды кто-то сделает push в открытый репо на github
источник

SZ

Sergey Zhuravlev in DevOps — русскоговорящее сообщество
👍
источник

P

Petro in DevOps — русскоговорящее сообщество
источник

D🦆

Dmitry 🦆 in DevOps — русскоговорящее сообщество
Sergey Zhuravlev
При таком подходе я просто не совсем понимаю чем это безопаснее хранения .env в репе
CI не знает креденшелсы.
источник

p

pragus in DevOps — русскоговорящее сообщество
Sergey Zhuravlev
Добрый вечер. Хочу поднять весьма холиварный вопрос, но не закидывайте сразу камнями. Пытаюсь понять best practice в вопросе хранения секретов. Без кубера, номада и прочего. Вот есть просто гитлаб, есть compose, есть приватное docker хранилище и есть CI/CD. Вот что не начнешь читать, везде пишут: .env в репе не храни, .env на проде не храни, variables в gitlab это небезопасно, не используй их. В итоге - как правильнее всего просто добавлять переменные окружения в собираемые контейнеры в CI/CD и отправлять в приватную репу если ничего нельзя?)
по http доставай из внешего сервиса
источник

SZ

Sergey Zhuravlev in DevOps — русскоговорящее сообщество
pragus
по http доставай из внешего сервиса
Ну это как я и написал про passbolt Только по https наверно все таки))
источник

AD

Alex Demidov in DevOps — русскоговорящее сообщество
pragus
по http доставай из внешего сервиса
тогда уж по rcp ;)
источник

IG

Ilshat Gayanov in DevOps — русскоговорящее сообщество
кхм...
источник

SZ

Sergey Zhuravlev in DevOps — русскоговорящее сообщество
Спасибо всем за советы
источник

p

pragus in DevOps — русскоговорящее сообщество
Sergey Zhuravlev
Добрый вечер. Хочу поднять весьма холиварный вопрос, но не закидывайте сразу камнями. Пытаюсь понять best practice в вопросе хранения секретов. Без кубера, номада и прочего. Вот есть просто гитлаб, есть compose, есть приватное docker хранилище и есть CI/CD. Вот что не начнешь читать, везде пишут: .env в репе не храни, .env на проде не храни, variables в gitlab это небезопасно, не используй их. В итоге - как правильнее всего просто добавлять переменные окружения в собираемые контейнеры в CI/CD и отправлять в приватную репу если ничего нельзя?)
Можно просто файл с паролями положить рядом в тот же git
источник