Телеграмм чат группы ru_hashicorp страница 1157

Evgeniy

у нас сервисная учетка в облаке с опредленными правами на конкретный реджистри

Токен service account живет обычно часов 12, как вы его обновляете?

13:34пожаловаться #1

citius

народ, а кто настраивал номад с докером + приватный регистри с аутентикацией? понять не могу что за подземный стук.

докеру установлен и настроен credHelper, если дернуть docker pull - все збс скачивается.
в конфиге номада агентов в секции client добавлено:

options = {
        "docker.auth.config" = "/root/.docker/config.json"
        "docker.auth.helper" = "yc"
    }

конфиг номад съедает без проблем.

однако таски не запускаются: API error (500): unauthorized: Authentication problem и все тут.

аналогичная проблема была

13:44пожаловаться #2

у нас вот такое работает

13:44пожаловаться #3

plugin "docker" {
  config {
    auth {
      config = "/etc/docker/auth.json"
    }
  }
}

13:44пожаловаться #4

Evgeniy in ru_hashicorp

Alexey Yurchenko

Токен service account живет обычно часов 12, как вы его обновляете?

Мы юзаем именно пару логин+пароль для сервисной учетки. Этого достаточно для docker login в нашем случае. Креды статичны. Уточню - что речь идет о Azure и Service Principal account. Если же использовать Managed Identity то там да, после выполнения az acr login дается токен который живет три часа, именно по это причине пришлось отказаться от Managed Identity и заюзать service principal

13:44пожаловаться #5

принципал не всем подойдет

13:45пожаловаться #6

Хранить креды на машине фактически в плейнтексте - ну такое

13:46пожаловаться #7

если токен - можно банально по крону пускать обновляшку

13:46пожаловаться #8

Evgeniy

скрипт по ссылке выше чуть переделать и будет так же работать в azure если что

13:46пожаловаться #9

Alexey Yurchenko

скрипт по ссылке выше чуть переделать и будет так же работать в azure если что

ажура с принципалом и без кредхелпера робит, ес чо

13:47пожаловаться #10

Я понимаю, просто в принципе про подход. docker-credential-helpers это не рокетсаинс, а пару строк кода
stdin -> json { "Username": "", "Secret": "???" }

https://gist.github.com/alexesDev/daf05580283f5ef5ea608b1796570e6c

13:48пожаловаться #11

citius in ru_hashicorp

Alexey Yurchenko

Gist

docker-credential-yandex.py

GitHub Gist: instantly share code, notes, and snippets.

за скрипт спасибо, в итоге заработало, но только с условием настройки
в docker-plugin.hcl:

auth {
      config = "/etc/docker_auth_config.json"
    }

и в самом этом файле

{
  "credHelpers": {
    "container-registry.cloud.yandex.net": "yandex",
    "cr.cloud.yandex.net": "yandex",
    "cr.yandex": "yandex"
  }
}

18:59пожаловаться #12

citius in ru_hashicorp

вот это в client.hcl - не работает

options = {
        "docker.auth.helper" = "yandex"
        "docker.auth.config" = "/etc/docker_auth_config.json"
    }

18:59пожаловаться #13

citius

за скрипт спасибо, в итоге заработало, но только с условием настройки
в docker-plugin.hcl:

auth {
      config = "/etc/docker_auth_config.json"
    }

и в самом этом файле

{
  "credHelpers": {
    "container-registry.cloud.yandex.net": "yandex",
    "cr.cloud.yandex.net": "yandex",
    "cr.yandex": "yandex"
  }
}

У меня номад там старый, там добавлялись флаги, скорее всего поэтому

19:00пожаловаться #14

citius in ru_hashicorp

возможно, у меня 0.12.1 в данном случае

19:00пожаловаться #15

У меня 0.7 или 0.8 😁 Руки не дойдут протестировать и перекатить 😁

19:01пожаловаться #16

2020 August 19

Господа, вопрос по номаду. Есть варианты, как без боли менеджить template{} из файла?

12:26пожаловаться #17

пока что самый нормальный способ - это качать через artifact{} файл из гита, и потом его сувать в template{}

12:27пожаловаться #18

но это не особо удобно для девелопмента джоб и темплейтов - надо на каждый чих коммитить

12:27пожаловаться #19

stempher in ru_hashicorp

Подскажите как лучше доставлять секреты на вм в приложение? Где хранить креды, какой тип авторизации использовать? Ранее использовали vault с auth k8s в кубе, там все проще как-то)