В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Kubernetes — русскоговорящее сообщество

5129 membersпожаловаться на группу
2020 September 02

k

kvaps in Kubernetes — русскоговорящее сообщество
Stas
У нас все чарты/кустомайзы рендарятся в ci и арго синкает уже всё готовое из Стейт репы. Изменения в Стейт репу соответственно доставляются prом. В принципе соответствует тому что написано тут https://cloud.google.com/solutions/safe-rollouts-with-anthos-config-management
@StanislavKhalup а вы как арго деплоите, по одному на энвайронмент или один общий?
источник
01:14пожаловаться#1

k

kvaps in Kubernetes — русскоговорящее сообщество
Stas
У нас все чарты/кустомайзы рендарятся в ci и арго синкает уже всё готовое из Стейт репы. Изменения в Стейт репу соответственно доставляются prом. В принципе соответствует тому что написано тут https://cloud.google.com/solutions/safe-rollouts-with-anthos-config-management
стейтрепа это прикольно, можно изменения в манифестах ревьювить, но что с секретами?
источник
01:15пожаловаться#2

S

Stas in Kubernetes — русскоговорящее сообщество
kvaps
@StanislavKhalup а вы как арго деплоите, по одному на энвайронмент или один общий?
В моей продуктовой команде был вообще один на все кластера. Сейчас в другой команде им только инфраструктурные вещи доставляют
источник
01:16пожаловаться#3

S

Stas in Kubernetes — русскоговорящее сообщество
kvaps
стейтрепа это прикольно, можно изменения в манифестах ревьювить, но что с секретами?
Bank-vaults
источник
01:17пожаловаться#4

S

Stas in Kubernetes — русскоговорящее сообщество
А не не только. У нас сейчас вся работа с заказом неймспейсов командами тоже на арго. Приходят а репу, делают пуллрек, арго его раскатывает
источник
01:19пожаловаться#5

k

kvaps in Kubernetes — русскоговорящее сообщество
Stas
Bank-vaults
То есть делаешь плейсхолдер в манифесте, а при деплое mutating webhook автоматически подставляет в него пароль из волта, верно?
источник
01:22пожаловаться#6

k

kvaps in Kubernetes — русскоговорящее сообщество
Блин прикольно
источник
01:23пожаловаться#7

S

Stas in Kubernetes — русскоговорящее сообщество
kvaps
То есть делаешь плейсхолдер в манифесте, а при деплое mutating webhook автоматически подставляет в него пароль из волта, верно?
Путь до конкретного секрета в переменной, и он не подставляет, он инджнетит прям в контейнер значение переменной а память. В етцд у тебя ничего нет а итоге
источник
01:24пожаловаться#8

k

kvaps in Kubernetes — русскоговорящее сообщество
Но ведь через арго всё равно все применённые ресурсы видны, или разработчики не имеют доступа в продакшен арго?
источник
01:24пожаловаться#9

k

kvaps in Kubernetes — русскоговорящее сообщество
Stas
Путь до конкретного секрета в переменной, и он не подставляет, он инджнетит прям в контейнер значение переменной а память. В етцд у тебя ничего нет а итоге
А, сорри, понял
источник
01:25пожаловаться#10

k

kvaps in Kubernetes — русскоговорящее сообщество
Интересно, как он это делает
источник
01:25пожаловаться#11

S

Stas in Kubernetes — русскоговорящее сообщество
kvaps
Интересно, как он это делает
https://banzaicloud.com/blog/inject-secrets-into-pods-vault-revisited/
источник
01:27пожаловаться#12

k

kvaps in Kubernetes — русскоговорящее сообщество
Stas
https://banzaicloud.com/blog/inject-secrets-into-pods-vault-revisited/
хитро!
источник
01:29пожаловаться#13

S

Stas in Kubernetes — русскоговорящее сообщество
Оно ещё умеет в транзитное шифрование, это из моей команды чел им законтрибьютил
источник
01:31пожаловаться#14

S

Stas in Kubernetes — русскоговорящее сообщество
Типа можешь пошифровать конфигмапу а ключ в волте лежит и точно таким же образом на старте сходит в воли и расшифрует
источник
01:33пожаловаться#15

S

Stas in Kubernetes — русскоговорящее сообщество
А не я соврал, конфигмапу не умеет
источник
01:35пожаловаться#16

EP

Eugene Petrovich in Kubernetes — русскоговорящее сообщество
к слову если кубик в облаке, то можно поиграть с helm ssm и kms (это если в aws), но секреты в configMap всё равно будут уже в открытом виде.
источник
01:38пожаловаться#17

k

kvaps in Kubernetes — русскоговорящее сообщество
Eugene Petrovich
к слову если кубик в облаке, то можно поиграть с helm ssm и kms (это если в aws), но секреты в configMap всё равно будут уже в открытом виде.
я git-crypt всё шифрую, очень доволен
источник
01:40пожаловаться#18

EP

Eugene Petrovich in Kubernetes — русскоговорящее сообщество
ага, тоже видел
источник
01:41пожаловаться#19

k

kvaps in Kubernetes — русскоговорящее сообщество
кстати, сейчас специально глянул, арго секреты не показывает, оказывается
источник
01:42пожаловаться#20