В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

DevOps Moscow

569 membersпожаловаться на группу
2019 December 13

PD

Petrukhin Dmitriy in DevOps Moscow
Ildar
Привет! Как вы прячете свои ssh ключи при деплое через gitlab ci/cd?
Кейс следующий: разработчик в файле .gitlab-ci.yml может написать команду на то чтобы вывести переменные с чувствительной инфой, а далее в получить доступ на те сервера на которые не должен ходить.
https://docs.gitlab.com/runner/configuration/advanced-configuration.html#the-runners-section pre_build_scripts и т.д
Gitlab
Advanced configuration | GitLab
Documentation for GitLab Community Edition, GitLab Enterprise Edition, Omnibus GitLab, and GitLab Runner.
источник
17:21пожаловаться#1

GM

Gleb Mekhrenin in DevOps Moscow
Ildar
Привет! Как вы прячете свои ssh ключи при деплое через gitlab ci/cd?
Кейс следующий: разработчик в файле .gitlab-ci.yml может написать команду на то чтобы вывести переменные с чувствительной инфой, а далее в получить доступ на те сервера на которые не должен ходить.
у меня сервера физически изолированы от разработчиков. в теории только через сам раннер несколько человек могли бы что то сделать у кого права есть в мастер мержить и деплоить, но это в общем то нормально
источник
17:22пожаловаться#2

GM

Gleb Mekhrenin in DevOps Moscow
доступ на прод вообще возможен только через бастион хост с тотп и прочей лабудой
источник
17:23пожаловаться#3

I

Ildar in DevOps Moscow
Petrukhin Dmitriy
https://docs.gitlab.com/runner/configuration/advanced-configuration.html#the-runners-section pre_build_scripts и т.д
Gitlab
Advanced configuration | GitLab
Documentation for GitLab Community Edition, GitLab Enterprise Edition, Omnibus GitLab, and GitLab Runner.
то есть вы заранее готовите раннер, запихивая туда креды?
источник
17:24пожаловаться#4

GM

Gleb Mekhrenin in DevOps Moscow
Gleb Mekhrenin
у меня сервера физически изолированы от разработчиков. в теории только через сам раннер несколько человек могли бы что то сделать у кого права есть в мастер мержить и деплоить, но это в общем то нормально
нормально это потому что эти ребята в принципе за свою часть проекта и кодовую базу отвечают и при огромном желании могут какую-нибудь закладочку сделать в коде
источник
17:25пожаловаться#5

PD

Petrukhin Dmitriy in DevOps Moscow
Ildar
то есть вы заранее готовите раннер, запихивая туда креды?
ну можно так, а можно просто в настройке ранера указать все что хочешь
источник
17:26пожаловаться#6

I

Ildar in DevOps Moscow
Gleb Mekhrenin
у меня сервера физически изолированы от разработчиков. в теории только через сам раннер несколько человек могли бы что то сделать у кого права есть в мастер мержить и деплоить, но это в общем то нормально
похитив ключи с раннера, можно попасть в бастион?
источник
17:26пожаловаться#7

GM

Gleb Mekhrenin in DevOps Moscow
Ildar
похитив ключи с раннера, можно попасть в бастион?
нет
источник
17:26пожаловаться#8

PD

Petrukhin Dmitriy in DevOps Moscow
Ildar
похитив ключи с раннера, можно попасть в бастион?
лучше прикрыть,
источник
17:26пожаловаться#9

GM

Gleb Mekhrenin in DevOps Moscow
идея в том что эти сервера закрыты извне и одни ключи не помогут.
источник
17:27пожаловаться#10

I

Ildar in DevOps Moscow
Gleb Mekhrenin
идея в том что эти сервера закрыты извне и одни ключи не помогут.
да, но подключившись по впн, и далее использовав ключ, который был унесен с раннера разработчик наверное сможет получить доступ?
источник
17:28пожаловаться#11

GM

Gleb Mekhrenin in DevOps Moscow
нет, еще раз. на серверы в принципе попасть можно двумя путями - раннер с определённым тегом и бастион хост, авторизация на бастионе логин+пароль+totp
источник
17:30пожаловаться#12

I

Ildar in DevOps Moscow
Petrukhin Dmitriy
ну можно так, а можно просто в настройке ранера указать все что хочешь
точно, спасибо!
источник
17:30пожаловаться#13

GM

Gleb Mekhrenin in DevOps Moscow
есть совсем чёрный ход если вдруг все пойдет не так, но там вообще отдельный механизм
источник
17:31пожаловаться#14

МS

Михаил SinTeZoiD in DevOps Moscow
Gleb Mekhrenin
есть совсем чёрный ход если вдруг все пойдет не так, но там вообще отдельный механизм
не чёрный ход, а bypass !
источник
17:31пожаловаться#15

I

Ildar in DevOps Moscow
Petrukhin Dmitriy
ну можно так, а можно просто в настройке ранера указать все что хочешь
опять же внутри pipeline ничего не мешает написать cat /etc/gitlab-runner/config.toml
источник
17:37пожаловаться#16

I

Ildar in DevOps Moscow
Gleb Mekhrenin
нет, еще раз. на серверы в принципе попасть можно двумя путями - раннер с определённым тегом и бастион хост, авторизация на бастионе логин+пароль+totp
этот вариант больше нравится,какие инструменты использовали? или что-то сапописное?
источник
17:39пожаловаться#17

GM

Gleb Mekhrenin in DevOps Moscow
Ildar
этот вариант больше нравится,какие инструменты использовали? или что-то сапописное?
в этот раз https://github.com/gravitational/teleport
вообще опенсорсного что можно взять и сразу использовать не очень много. есть коммерческие продукты, но там такой прайс что не думаю что есть резон даже вспоминать
GitHub
gravitational/teleport
Privileged access management for elastic infrastructure. - gravitational/teleport
источник
17:41пожаловаться#18

I

Igor in DevOps Moscow
источник
18:29пожаловаться#19

I

Igor in DevOps Moscow
очень сложный вопрос у отуса, парни помогите
источник
18:29пожаловаться#20