AZ
Наверное тебе нужны лайвнес пробы
Size: a a a
2021 January 22
UU
*read MadelineProto source*
2021 January 23
UU
isn't it a standard library ?
2021 January 25
AF
Всем привет, есть вопрос по администрированию SSL-сертификатов при использовании gRPC в качестве способа взаимодействия между микросервисами внутри кластера Kubernetes. Кто как решает задачу управления(создание/обновление/отзыв) сертификатами при использовании gRPC?
DS
Всем привет, есть вопрос по администрированию SSL-сертификатов при использовании gRPC в качестве способа взаимодействия между микросервисами внутри кластера Kubernetes. Кто как решает задачу управления(создание/обновление/отзыв) сертификатами при использовании gRPC?
А есть разница в обслуживании сертификатов по сравнению с https?
AF
А есть разница в обслуживании сертификатов по сравнению с https?
Извиняюсь, про Kubernetes не указал.
По-идее разницы никакой, но интересно кто как реализует создание/ротацию внутри кластеров
По-идее разницы никакой, но интересно кто как реализует создание/ротацию внутри кластеров
DS
cert-manager, или cert-manager + reloader (если приложение не умеет перечитывать)
istio/linkerd вопросы tls между сервисами может взять на себя вроде
istio/linkerd вопросы tls между сервисами может взять на себя вроде
AF
cert-manager, или cert-manager + reloader (если приложение не умеет перечитывать)
istio/linkerd вопросы tls между сервисами может взять на себя вроде
istio/linkerd вопросы tls между сервисами может взять на себя вроде
На сколько помню cert-manager только для Let's encrypt. Поправьте если не прав.
istio/linkerd не хотим использовать, но в целом задачу они решают =)
istio/linkerd не хотим использовать, но в целом задачу они решают =)
DS
На сколько помню cert-manager только для Let's encrypt. Поправьте если не прав.
istio/linkerd не хотим использовать, но в целом задачу они решают =)
istio/linkerd не хотим использовать, но в целом задачу они решают =)
нет не только. Можно и свои генерить
IB
cert-manager это неплохая серебряная пуля в плане SSL сертов в кубах
IB
И збс интегрируется со всем остальным
AF
нет не только. Можно и свои генерить
Спасибо за наводку, поковыряю его.
Правда у коллег есть мнение что центр выдачи сертификатов должен жить отдельно от основного кластера чтобы нельзя было похитить ca.key и развить вектор атаки в случае проникновения в хост-систему. Над этим буду думать
Правда у коллег есть мнение что центр выдачи сертификатов должен жить отдельно от основного кластера чтобы нельзя было похитить ca.key и развить вектор атаки в случае проникновения в хост-систему. Над этим буду думать
IB
Если у тебя украли kubectl доступ или доступ к тачке, ты уже fucked in the ass в любом случае
IB
И это относится не только к кубам)
AF
Если у тебя украли kubectl доступ или доступ к тачке, ты уже fucked in the ass в любом случае
Спору нет, но можно попытаться минимизировать риски пропажи/модификации/утечки данных
IB
Для такого можно Falco заюзать к примеру
IB
И запретить всяким приложениям лазить туда, куда не должны