Используем Hashicorp Vault в kubernetes

Рет қаралды 9,432

Күн бұрын

Пікірлер: 45

@DDDD-uc9fq 2 жыл бұрын

Супер, спасибо за уроки!!! Как хорошо, что я вас нашел!!! Странно, что так мало подписчиков, отличная подача и актуальные уроки. Наряду с Денисом Астаховым и Кириллом Семаевым, вы в топе для Девопс!!!

@AlexanderSnegov 6 ай бұрын

Артур, Больше спасибо за урок, отлично рассказано, все по полочкам, жирный лайк!

@jurkinss1 2 жыл бұрын

Спасибо за отличный урок!

@dmitry608 3 жыл бұрын

Спасибо, своевременное видео. Дополнительно отмечу, что у волта удобный веб-интерфейс для управления секретами.

@OldPythonKAA 3 жыл бұрын

Да. Но если показывать все фишки - то видео было бы очень длинным. А так в helm chart включаем ui и добавляем ингресс :)

@kozhin1979 3 жыл бұрын

Vault это классная вещь, не только в кубере

@fatoldman340 2 жыл бұрын

Случайно наткнулся на вас и залип на день, спасибо за подробную подачу! Касаемо волта, а почему не рассматривали рафт хранилище, хашикорп сейчас за него стал топить, даже методичку написал, как мигрировать с консула. Ещё вопрос про агента: чем он не подошёл, агент позволяет создать конфиг файл с необходимыми секретами внутри, а также же расположить в необходимом месте, используя аннотации

@OldPythonKAA 2 жыл бұрын

Добрый день. Можно всё. Но вот нужно ли? :) У меня тестовая и очень ограниченная по ресурсам инфраструктура, использую то, что есть под рукой. Про агент смотрите следующее видео о волте.

@Евгений-я8о8р 3 жыл бұрын

Артур , добрый день . в vault предусмотрена автономическая распечатка но для этого необходим второй vault или внешняя интеграция с большой тройкой

@OldPythonKAA 3 жыл бұрын

Добрый день. В примере автономный vault. Господа, учитываете, что все примеры показаны в небольшом кластере. тут просто физически невозможно развернуть что то большое и навороченное :(

@sandrynin 3 жыл бұрын

Артур Vault Agent умеет делать template по аналогии с Consul Template и все прекрасно подставляет в нужные места, а конфиг агента можем хранить где угодно, и в конфиг мапах ему передать те самые темплейты. И при старте он все корректно заполнит, да еще и рефрешить будет этот конфиг, главное чтобы приклад умел читать. А еще можно подать комманду например тому же nginx передать sighup на релоад конфига. Причем команду может подать сам агент. Это все хорошо описано в доке. Вот как то так.

@OldPythonKAA 3 жыл бұрын

Ну да, все так. Только внимательно посмотрите, какая конкретная проблема решается в данном видео. _"главное чтобы приклад умел читать"_ - Приложение (openresty) написано другими. И не умеет читать и перечитывать все то что волт может подсунуть в под. Ну вот тупо не умеет. Если вы сами пишите приложение и ориентируетесь на волт - тогда да, все шикарно. _"еще можно подать комманду например тому же nginx передать sighup на релоад конфига"_ - в кубере все не так, как на обычных серверах. Приложениям в контейнерах никто не посылает HUP. И волт тоже не сможет это сделать, его агент типа в другом контейнере работает. У них тупо разные наборы PID и изоляция процессов. (Или что то изменилось в мире контейнеризации?) Не зря пишут приложения типа стакато релоадеров. Ну вот не просто так их пишут... Поэтому повторяюсь - плиз, внимательно посмотрите какую проблему мы решаем в этом видео. Видео не про конфигурацию волта, шаблоны его использования и прочее...

@sandrynin 3 жыл бұрын

Если ваша задача заполнить конфиг значениями из вольта то решается просто агентом + пара фич кубера. Если конфиг генериться на основании каких то данных из вне, например апстримы, локейшены и прочее, то мы пишем свою тулзу генерации конфига, или шаблона для того же Vault Agent. Как то так

@sandrynin 3 жыл бұрын

@@OldPythonKAA странно что ответ был удален, напишу кратно, сигнал послать можно, рулится через спеки деплоймента и секюрити контекст. Openresty/Nginx умеет получать и обрабатывать сигналы ОС, так что все решаемо

@OldPythonKAA 3 жыл бұрын

Ничего не удалял. Странно. _" рулится через спеки деплоймента и секюрити контекст."_ Можно ткнуть туда, где про это написано? Вы имели в виду _shareProcessNamespace: true_ ?

@OldPythonKAA 3 жыл бұрын

_"если ваша задача заполнить конфиг значениями из вольта то решается просто агентом + пара фич кубера."_ - моя задача засунуть в configMap пару значений из вольта. Можно подробнее про агент и пару фич? Вот так как в видео (файлы есть в github) в configMap и подставить этот конфиг в openresty.

@barsuk879 7 ай бұрын

На мой взгляд пропущен 1 тонкий, но очень важный момент. Что это за сертификаты для Access в Vault. А оказывается это аутентификация по сертификату... Какой формат, как генерить. Куда помещать закрытую часть сертификата. Требуется ли для этого ЦС, списки отзыва и прочее.. прочее... Даже если это самопоизданый серт... Какова общая схема взаимодействия.

@redbull05689 2 жыл бұрын

Спасибо огромное за видео. Мне не понятен один момент. Как мне интегрировать внешний Vault с k8s кластером, если сертификат к этому кластеру периодически меняется, например в случае Amazon EKS?

@OldPythonKAA 2 жыл бұрын

Я особо vault не копал, с точки зрения построения большой сети. Да и EKS не использую :) Но мне как дилетанту в этих вопросах, кажется, что в вашем случае надо использовать "Vault Multi-Cluster Architecture Guide" (сорри, гугл режет ссылки, поэтому сами поищите по ключевым словам). Где один из серверов следует установить внутри вашего кластера.

@redbull05689 2 жыл бұрын

@@OldPythonKAA спасибо за ответ, обязательно посмотрю

@OldPythonKAA 2 жыл бұрын

Я тут опять с vaul ковыряюсь. Почитал немного документацию. Там есть AWS Auth Method. Можно его использовать вместо kubernetes.

@CatWorldson Жыл бұрын

Артур, а почему вы при создании приложения делаете копипаст и руками вставляете в веб морду арго? Надо же быть более ленивым и применять манифест прям из пайчарма, как и любой другой манифест кубера, одной зелёной кнопочкой

@CatWorldson Жыл бұрын

Вопрос отпал сам собой на одном из последних роликов )