SM
если ты мне , то не понимаю причем тут консул. Явно проблема в провайдере, который шлет не валидное говно
Size: a a a
2020 September 25
S
если ты мне , то не понимаю причем тут консул. Явно проблема в провайдере, который шлет не валидное говно
Да тебе, сочуствующе разсуждаю и пытаюсь помоч логикой)
Error: error disabling auth from Vault: Error making API request.
Error: error disabling auth from Vault: Error making API request.
SM
да забей, сядь чайку выпьем
S
YS
Ребята, а чтобы поставить vault в ha нужна лицензия(ent) ?
Нет, нужно использовать HA сторадж бэкенд
Internal, consul, pgsql, etcd, что-то ещё. Подробнее тут https://www.vaultproject.io/docs/configuration/storage/s3
Internal, consul, pgsql, etcd, что-то ещё. Подробнее тут https://www.vaultproject.io/docs/configuration/storage/s3
S
Нет, нужно использовать HA сторадж бэкенд
Internal, consul, pgsql, etcd, что-то ещё. Подробнее тут https://www.vaultproject.io/docs/configuration/storage/s3
Internal, consul, pgsql, etcd, что-то ещё. Подробнее тут https://www.vaultproject.io/docs/configuration/storage/s3
Спасибо(No High Availability – the S3 storage backend does not support high availability.🥺)
YS
Спасибо(No High Availability – the S3 storage backend does not support high availability.🥺)
Но кто-то тут в чатике писал что HA работает. Че слово нз так ли это.
С консулом работает примерно так: Кто первый написал в хранилище что он лидер, то и лидер. Все запросы к стендбаям прозрачно проксируются лидеру.
Итого: надо проверять. Я не тыкался
С консулом работает примерно так: Кто первый написал в хранилище что он лидер, то и лидер. Все запросы к стендбаям прозрачно проксируются лидеру.
Итого: надо проверять. Я не тыкался
S
Но кто-то тут в чатике писал что HA работает. Че слово нз так ли это.
С консулом работает примерно так: Кто первый написал в хранилище что он лидер, то и лидер. Все запросы к стендбаям прозрачно проксируются лидеру.
Итого: надо проверять. Я не тыкался
С консулом работает примерно так: Кто первый написал в хранилище что он лидер, то и лидер. Все запросы к стендбаям прозрачно проксируются лидеру.
Итого: надо проверять. Я не тыкался
А как у тебя развернуто?
YS
Копирование секретов из кв в кв или внутри кв, или из одного кластера в другой решается через токен с доступом на чтение и на запись GET/POST запросы. На гитхабе есть куча решений, часть сомнительной полезности или прям оч устаревшие (тип не умеют с KV v2 работать)
Копирование транзит бэкенда и кучи других SE не представляю как сделать.
Просто скопировать всё из хранилища не получится, потому что Barrier https://www.vaultproject.io/docs/internals/architecture
Если кратко - ключ другой, а даже если тот же, тип из бэкапа пытаешься подсунуть - надо перезапускать ноду волта, иначе может не вычитать новые данные. Как-то урезано, мб потому что норм миграция это энтерпрайз фича
Копирование транзит бэкенда и кучи других SE не представляю как сделать.
Просто скопировать всё из хранилища не получится, потому что Barrier https://www.vaultproject.io/docs/internals/architecture
Если кратко - ключ другой, а даже если тот же, тип из бэкапа пытаешься подсунуть - надо перезапускать ноду волта, иначе может не вычитать новые данные. Как-то урезано, мб потому что норм миграция это энтерпрайз фича
YS
А как у тебя развернуто?
Пока консул, хочу разобраться и перенастроить на internal. Но сначала тесты
В смысле:
* Бэкапирование и восстановление
* Новые сервисные УЗ
* Стресс тест на проверку как сильно больше будет жрать ресы с интернал хранилищем
* Автоматизация по добавлению ноды в кластер
* Автоматизация по выкидыванию ноды из кластера
* Мб ещё какие-то подводные камни
В смысле:
* Бэкапирование и восстановление
* Новые сервисные УЗ
* Стресс тест на проверку как сильно больше будет жрать ресы с интернал хранилищем
* Автоматизация по добавлению ноды в кластер
* Автоматизация по выкидыванию ноды из кластера
* Мб ещё какие-то подводные камни
S
Пока консул, хочу разобраться и перенастроить на internal. Но сначала тесты
В смысле:
* Бэкапирование и восстановление
* Новые сервисные УЗ
* Стресс тест на проверку как сильно больше будет жрать ресы с интернал хранилищем
* Автоматизация по добавлению ноды в кластер
* Автоматизация по выкидыванию ноды из кластера
* Мб ещё какие-то подводные камни
В смысле:
* Бэкапирование и восстановление
* Новые сервисные УЗ
* Стресс тест на проверку как сильно больше будет жрать ресы с интернал хранилищем
* Автоматизация по добавлению ноды в кластер
* Автоматизация по выкидыванию ноды из кластера
* Мб ещё какие-то подводные камни
Получается примерно вот это?
https://learn.hashicorp.com/tutorials/vault/ha-with-consul
https://learn.hashicorp.com/tutorials/vault/ha-with-consul
SM
а чем консул не угодил?
S
Пока консул, хочу разобраться и перенастроить на internal. Но сначала тесты
В смысле:
* Бэкапирование и восстановление
* Новые сервисные УЗ
* Стресс тест на проверку как сильно больше будет жрать ресы с интернал хранилищем
* Автоматизация по добавлению ноды в кластер
* Автоматизация по выкидыванию ноды из кластера
* Мб ещё какие-то подводные камни
В смысле:
* Бэкапирование и восстановление
* Новые сервисные УЗ
* Стресс тест на проверку как сильно больше будет жрать ресы с интернал хранилищем
* Автоматизация по добавлению ноды в кластер
* Автоматизация по выкидыванию ноды из кластера
* Мб ещё какие-то подводные камни
У вас там все серьезно)) у меня никакого хайлоуда пока что не планируется, пару приложеник с кв работают и все, у нас пока ваулт не целевой, он мне почему-то понравился вот я за него и топлю на деве
YS
За ним надо следить
Если волт не дошёл до хранилища - ловим ошибку. У нас приватное облако и могут быть проблемы с сетью, тип соседняя виртуалка шумит и весь канал пожрала.
Я люблю свой реп рекламить https://github.com/infra-lab-xyz/docker-lab/tree/master/vault-autounseal
Правд надо обновить почти все проекты, за 2 года что-то поменялось, но в целом, мб найдёшь нужные подсказки
Если волт не дошёл до хранилища - ловим ошибку. У нас приватное облако и могут быть проблемы с сетью, тип соседняя виртуалка шумит и весь канал пожрала.
Я люблю свой реп рекламить https://github.com/infra-lab-xyz/docker-lab/tree/master/vault-autounseal
Правд надо обновить почти все проекты, за 2 года что-то поменялось, но в целом, мб найдёшь нужные подсказки
YS
У вас там все серьезно)) у меня никакого хайлоуда пока что не планируется, пару приложеник с кв работают и все, у нас пока ваулт не целевой, он мне почему-то понравился вот я за него и топлю на деве
Он удобный
Эту ссылку я тоже люблю шарить https://www.youtube.com/watch?v=pP8909tFllM
Эту ссылку я тоже люблю шарить https://www.youtube.com/watch?v=pP8909tFllM
YS
С момента доклада много чего успело поменяться. Сразу скажу что в Open Source всё ещё ничего не выкатится, и компания запилила более крутое решение, над волтом и не только ним, чем я делал на ансибле.
YF
Я вот для себя решил, что идеальное хранилище (если в облаке) - postgresql RDS. Вообще никаких проблем, простое как пробка, само себе скейлится если нужно и deletion protection позволяет защитится от выстрела в ногу
SM
вам эникеи не нужны мышки перетыкивать? лол
YS
Я вот для себя решил, что идеальное хранилище (если в облаке) - postgresql RDS. Вообще никаких проблем, простое как пробка, само себе скейлится если нужно и deletion protection позволяет защитится от выстрела в ногу
Сложнее с ограничениями. Тип сусурити
S
вам эникеи не нужны мышки перетыкивать? лол
На фоне тинька и яндекса, загорелось захантиться?))