Size: a a a

2020 December 07

JR

Jürgen Romins in ru_hashicorp
Alex S
это советуют разработчику вагранта
Там помимо этого еще несколько решений
источник

AS

Alex S in ru_hashicorp
да, я понял
источник
2020 December 08

AP

Anton Patsev in ru_hashicorp
Коллеги, что вы думаю про https://habr.com/ru/post/531602/#comment_22397568

"рекомендую оценить риски и в частности рассмотреть ситуацию, когда консул нужно остановить на всех машинах. Такое может произойти если возникнет проблема в raft-е."
источник

NZ

Nikolay Zykov in ru_hashicorp
Anton Patsev
Коллеги, что вы думаю про https://habr.com/ru/post/531602/#comment_22397568

"рекомендую оценить риски и в частности рассмотреть ситуацию, когда консул нужно остановить на всех машинах. Такое может произойти если возникнет проблема в raft-е."
https://m.habr.com/ru/company/citymobil/blog/503246/comments/

Вот исходный коммент, там чувак говорит, что он чето слышал, но занимаются этим другие люди и он до конца не в курсе)
источник

AP

Anton Patsev in ru_hashicorp
это я читал. думал может идеи будут. может мы чем нибудь помочь можем
источник

NZ

Nikolay Zykov in ru_hashicorp
Я к тому, что достоверной информации нет
источник

m

manefesto in ru_hashicorp
Мы кстати планируем пром катнуть в nomad и я так обнаружение делать через consul
Пока этим не я занимаюсь, но кейс интеграции prom+consul вполне рабочий, да и вообще вроде как любой service discovery можно прикрутить к prom
источник

NZ

Nikolay Zykov in ru_hashicorp
manefesto
Мы кстати планируем пром катнуть в nomad и я так обнаружение делать через consul
Пока этим не я занимаюсь, но кейс интеграции prom+consul вполне рабочий, да и вообще вроде как любой service discovery можно прикрутить к prom
Я запускаю стек от VictoriaMetrics, работает
источник

ДП

Денис Парыгин... in ru_hashicorp
Всем привет!
источник

m

manefesto in ru_hashicorp
Денис Парыгин
Всем привет!
Этой мой коллега =)
источник

NZ

Nikolay Zykov in ru_hashicorp
Привет, по поводу безопасности в nomad-consul.
В nomad-client прописан токен консула, у токена политика, которая разрешает читать все сервисы и kv. (нужно для дискавери и шаблонов)

Получается, если получить доступ к этому токену, то можно выкачать всю важную информацию из кластера. Я правильно понимаю, что единственный способ воспрепятствовать этому, это на разные группы клиентов давать разные токены. Так чтобы каждая группа клиентов имела доступ к определённой иформации.

На уровне job не нашёл чтоб это можно было решить.
источник

NZ

Nikolay Zykov in ru_hashicorp
И ещё вопрос с волтом тоже самое ?
источник

m

manefesto in ru_hashicorp
а как ты хочешь на разные группы клиентов ставить разные токены ?
источник

m

manefesto in ru_hashicorp
я так понимаю что политика на уровне агентов не реализована
источник

m

manefesto in ru_hashicorp
@n1k0lay_z я так понимаю это даст тебе ответы на твои вопросы https://www.consul.io/docs/security#threat-model
источник

NZ

Nikolay Zykov in ru_hashicorp
manefesto
а как ты хочешь на разные группы клиентов ставить разные токены ?
Как угодно. т.е я например выделю несколько серверов с клиентами под определённые приложения и указываю в них токен, который даёт доступ только к этим сервисам.
источник

m

manefesto in ru_hashicorp
неймспейсы тебе в лапки, правда они не реализуют менеджмент по токенам
если параноишь, делай отдельный кластер под определенные приложения
источник

NZ

Nikolay Zykov in ru_hashicorp
manefesto
неймспейсы тебе в лапки, правда они не реализуют менеджмент по токенам
если параноишь, делай отдельный кластер под определенные приложения
Я не то чтоб параною, просто хочу понять риски
источник

m

manefesto in ru_hashicorp
но я могу ошибаться
источник

m

manefesto in ru_hashicorp
Во посмотри https://learn.hashicorp.com/collections/nomad/access-control
Видать я действительно ошибаюсь
источник