GG
а какой кстати профит от vault, если в итоге это все равно хранится в секретах куба?
Для удобства хранения чисто? Секреты обновляются только после деплоев?
Для удобства хранения чисто? Секреты обновляются только после деплоев?
Нет
Size: a a a
2020 March 05
GG
Никаких секретов куба. Логика какая. Если у тебя в кубе хранится только токен к волту, то ты можешь отследить, когда идут обращения к секрету внутри волта
GG
И своевременно рубить доступ
GG
Или изменять секрет в случае его компрометации.
DS
Или изменять секрет в случае его компрометации.
А как он попадает в приложение? Я слышал про сайдкары которые генерят файлы с секретами из волта.
Мне такой подход не очень заходит, так как не 12 фактор, и вместо перезапуска приложения, нужно учить его перечитывать файл с секретами.
Можно в env секреты из волта вставлять?
Мне такой подход не очень заходит, так как не 12 фактор, и вместо перезапуска приложения, нужно учить его перечитывать файл с секретами.
Можно в env секреты из волта вставлять?
GG
А как он попадает в приложение? Я слышал про сайдкары которые генерят файлы с секретами из волта.
Мне такой подход не очень заходит, так как не 12 фактор, и вместо перезапуска приложения, нужно учить его перечитывать файл с секретами.
Можно в env секреты из волта вставлять?
Мне такой подход не очень заходит, так как не 12 фактор, и вместо перезапуска приложения, нужно учить его перечитывать файл с секретами.
Можно в env секреты из волта вставлять?
Ну, очевидно - либо приложение умеет само в волт ходить, либо сайдкар
DS
Ну, очевидно - либо приложение умеет само в волт ходить, либо сайдкар
понятно, спасибо
GG
env не решает проблему с сосурити - ты через кьюбктл все секреты увидишь и фуфуфу
GG
Если ты хочешь секреты в енвах, то тебе волт не нужен )
DS
env не решает проблему с сосурити - ты через кьюбктл все секреты увидишь и фуфуфу
через kubectl ты можешь их увидеть с помощью exec. Хотя exec можно запретить
GG
через kubectl ты можешь их увидеть с помощью exec. Хотя exec можно запретить
Нет )
GG
Если сайдкар кладет их в файл, а потом этот файл считывается в память приложения и удаляется )
Д
Можно ваще не париться по секьюрити в кубе, всем советую
GG
Можно ваще не париться по секьюрити в кубе, всем советую
В смысле - все настолько плохо, что смысла строить велосипед нет ?
Д
В смысле - все настолько плохо, что смысла строить велосипед нет ?
Я считаю что да
GG
Ну, в принципе, я согласен )
Д
Только голову морочить и поддержку усложнять
GG
Только голову морочить и поддержку усложнять
+
DS
Если сайдкар кладет их в файл, а потом этот файл считывается в память приложения и удаляется )
то есть приложение должно его удалять само?
Интересно, как по мне лучше тогда секреты читать напрямую из vault
Интересно, как по мне лучше тогда секреты читать напрямую из vault
GG
то есть приложение должно его удалять само?
Интересно, как по мне лучше тогда секреты читать напрямую из vault
Интересно, как по мне лучше тогда секреты читать напрямую из vault
Ну, я накидываю идеи )