В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

ru_hashicorp

672 membersпожаловаться на группу
2020 September 22

YS

Yura Shutkin (pc) in ru_hashicorp
V
Добрый день. Вопрос по vault.  Кластер А - Кластер B делают друг другу auto-unseal. Оба кластера на двух машинах. Одна машина в ребут и vault сервисы не поднимаются т.к.  нужны друг другу для auto-unseal. Есть решение? Спасибо
Привет, не знаю завезли ли, но транзит ансил нельзя сделать цикличным, т.е. чтобы кластер А хранил ключ от кластера Б и наоборот. Кластер А может быть настроен на автоансил через траниз кластера Б, но кластер Б, даже если настроить, не будет распечатываться кластером А.
источник
15:30пожаловаться#1

AD

Andrey Devyatkin in ru_hashicorp
V
Добрый день. Вопрос по vault.  Кластер А - Кластер B делают друг другу auto-unseal. Оба кластера на двух машинах. Одна машина в ребут и vault сервисы не поднимаются т.к.  нужны друг другу для auto-unseal. Есть решение? Спасибо
Интересно почему такая схема. Unseal через Cloud KMS не опция?
источник
15:35пожаловаться#2

YS

Yura Shutkin (pc) in ru_hashicorp
Andrey Devyatkin
Интересно почему такая схема. Unseal через Cloud KMS не опция?
Да, надо было уточнить. Не кровавый энтерпрайз, но облако приватное и GCP, AWS, Azure, Alicloud и прочие KMS не можем использовать. Если вопрос про них, то не смогу ответить, могу лишь предполагать что в OSS версии такого нет, потому что Disaster Recovery это исключительно платная фишка. Надо проверить можно ли сделать.
источник
15:46пожаловаться#3

AD

Andrey Devyatkin in ru_hashicorp
Auto unseal через KMS сделали open source в 2018 если я все правильно помню
источник
15:47пожаловаться#4

AD

Andrey Devyatkin in ru_hashicorp
но нет так нет
источник
15:47пожаловаться#5

YS

Yura Shutkin (pc) in ru_hashicorp
Andrey Devyatkin
Auto unseal через KMS сделали open source в 2018 если я все правильно помню
Его сделали бесплатным, я про циклическое распечатывание. В АВСе или в гугле ?
источник
15:48пожаловаться#6

YS

Yura Shutkin (pc) in ru_hashicorp
Я в отпуске мб проверю чтобы не быть голословным.
источник
15:48пожаловаться#7

AD

Andrey Devyatkin in ru_hashicorp
Если делать через KMS то не надо заморачиваться с циклами - Vault поднимается и идет в KMS что бы взять оттуда ключ и им расшифровать мастер ключ от базы данных (если я правильно помню процедуру)
источник
15:50пожаловаться#8

YS

Yura Shutkin (pc) in ru_hashicorp
Andrey Devyatkin
Если делать через KMS то не надо заморачиваться с циклами - Vault поднимается и идет в KMS что бы взять оттуда ключ и им расшифровать мастер ключ от базы данных (если я правильно помню процедуру)
Чёрд, точно. Т.к. KMS это уже хранилище ключей.
источник
15:51пожаловаться#9

AD

Andrey Devyatkin in ru_hashicorp
то есть кластерам не нужно на друг друга завязываться потому что они ожидают что KMS будет доступен
источник
15:51пожаловаться#10

AD

Andrey Devyatkin in ru_hashicorp
в приватных датацентрах обычно можно найти HSM но это уже Vault Enterprise нужен чтобы его использовать
источник
15:52пожаловаться#11

AD

Andrey Devyatkin in ru_hashicorp
либо свою автоматизацию делать которая будет от туда ключи брать для unseal но тогда уж лучше схема с transit unseal так как меньше костылей
источник
15:54пожаловаться#12

AD

Andrey Devyatkin in ru_hashicorp
V
Добрый день. Вопрос по vault.  Кластер А - Кластер B делают друг другу auto-unseal. Оба кластера на двух машинах. Одна машина в ребут и vault сервисы не поднимаются т.к.  нужны друг другу для auto-unseal. Есть решение? Спасибо
расскажи подробнее. unseal нужно же один раз делать на старте. Рестарт одной машины должен быть норм? Нет?
источник
15:55пожаловаться#13

E

Elenhil in ru_hashicorp
Yura Shutkin (pc)
Да, надо было уточнить. Не кровавый энтерпрайз, но облако приватное и GCP, AWS, Azure, Alicloud и прочие KMS не можем использовать. Если вопрос про них, то не смогу ответить, могу лишь предполагать что в OSS версии такого нет, потому что Disaster Recovery это исключительно платная фишка. Надо проверить можно ли сделать.
зочем вообще авто-ансил? вы так часто рестартите волт?
источник
15:56пожаловаться#14

AD

Andrey Devyatkin in ru_hashicorp
автоматические деплои и ротация машин
источник
15:57пожаловаться#15

AD

Andrey Devyatkin in ru_hashicorp
как пример
источник
15:57пожаловаться#16

AD

Andrey Devyatkin in ru_hashicorp
чтобы ночью не просыпаться ключи вводить
источник
15:57пожаловаться#17

V

V in ru_hashicorp
Так. Вроде работает. Теперь если одна машина в ребут то при старте ее распечатывают сервисы vault с другой машины
источник
15:57пожаловаться#18

YS

Yura Shutkin (pc) in ru_hashicorp
Elenhil
зочем вообще авто-ансил? вы так часто рестартите волт?
Отказоустойчивость.
* Нода волта может сама перезапуститься, в смысле виртуалка
* Нода волта может сама перезапуститься, при проблемах с сетью
* Проще проводить работы, выводишь ноду из ротации, обновляешь волт или конфиг волта, перезапускаешь - работает, не надо ждать распечатать

* Самый главный плюс - я сплю ночью и на переживаю что кластер запечатался и автоматизация встала
источник
15:58пожаловаться#19

E

Elenhil in ru_hashicorp
🤔
источник
15:58пожаловаться#20