GG
а у тебя veth, ога ?
Size: a a a
2020 October 05
D
а у тебя veth, ога ?
не понял вопрос. где именно veth?
GG
не понял вопрос. где именно veth?
внутри контейнера
AL
Вопрос: а есть какой-то более простой продакшен-реди способ секрет из Vault-а заэкспортить в env переменные чтобы создать окружение динамическое в контейнере?
Мануал рекомендует сайдкар который положит файл со строчками export, а затем подмена entrypoint в контейнере на то чтобы сделать инклуд этого файла и продолжить запуск...
Мануал рекомендует сайдкар который положит файл со строчками export, а затем подмена entrypoint в контейнере на то чтобы сделать инклуд этого файла и продолжить запуск...
GG
в энвы класть не круто
AL
Даже внутри конечно контейнера?
GG
энвы ты с хоста можешь украсть
GG
самое крутое - это либо у тебя токены в самом приложении и встроенный волт клиент
GG
либо волт сайдкар выгружает в emptydir файлик с конфигами, а потом ты в приложении считываешь его и сразу шлепаешь
AL
самое крутое - это либо у тебя токены в самом приложении и встроенный волт клиент
Тогда придётся велосипед городить на чтение в разных средах по-разному... Так как локально везде .env
GG
Тогда придётся велосипед городить на чтение в разных средах по-разному... Так как локально везде .env
вообще делать чтение конфигов из нескольких мест это ок
GG
у нас с разрабами была договоренность, что они умеют и из конфига, и из волта, и из ENV'ов - каждый способ для разных окружений ( dev/test/prod) и никаких проблем 🤷
GG
просто задавать стопицот ENV - так себе удовольствие
AL
Так волт поддерживает секреты в JSON - вставил всю портянку - и готово. Три окружения - три пути в вольте
GG
Так волт поддерживает секреты в JSON - вставил всю портянку - и готово. Три окружения - три пути в вольте
все так
14
энвы ты с хоста можешь украсть
имея рут на ноде, ключи можно вытащить и из памяти. вопрос: нужно ли усложнять приложение ради подобной псевдобезопасности?
GG
> имея рут на ноде
не обязательно имея рут на ноде
не обязательно имея рут на ноде
GG
> вопрос: нужно ли усложнять приложение ради подобной псевдобезопасности?
авито сделали, чем мы хуже ?
авито сделали, чем мы хуже ?
AL
просто задавать стопицот ENV - так себе удовольствие
Не вижу кстати в этом беды - так себе удоволсьтвие не стопфактор
AL
энвы ты с хоста можешь украсть
Ты можешь и из памяти вытащить конфиги если доступ к контейнеру есть