А banzai bank-vault позволяет это сделать? И вообще на сколько секьюрно его использовать?

Я понятия не имею, что это. В какой среде надо инжектить?

kubernetes

Для k8s есть отдельный инжектор https://www.vaultproject.io/docs/platform/k8s/injector

Да, я знаю, но он может иньектит секреты в env, а мне нужно заиньектить сам токен в env.
У меня есть сервис который хранит данные в vault и ему постоянно нужен токен, ну ладно заиньектить токен не проблема, но как его обновлять

Думал cronjob сделать, чтобы он каждую неделю получал новый токен, но тогда какой-то запрос может обломаться

можно обращаться в Vault не с его собственным токеном, а с service account token из k8s - отпадает необходимость этот самый токен обновлять
https://www.vaultproject.io/docs/auth/kubernetes

Тю, может я что-то не понимаю.
Я и так использую k8s auth method, но это auth method, он нужен, чтобы получить токен vault'a по которому можно что-то делать с секретами. Vault token имеет ttl и его нужно время от времени обновлять, чтобы его заново получить мне нужно использовать k8s auth method

Можно получить токен при старте и сидеть обновлять. А можно получать каждый раз новый через serviceaccount token

Я вот сколько читаю про это lease renew revoke, все равно не пойму как оно работает.
В документации пишет "You can renew the service token's TTL as long as it has not been expired.", а когда он expired, автоматически вызывается revoke.
Я поставил ttl 30s и когда оно доходит до 0, оно автоматически обновляется до 30s

Я понял почему ttl обновляется. Vault-agent-injector автоматически посылает запрос на renew этого токена.
Может кому интересно

а когда он его посылает? в момент инжекта каждый раз?
а если инжектов не было больше чем TTL то как дальше жить?

Он по ttl его обновляет, у меня ttl=30, вот он примерно каждые 28-29s его обновляет.
Он один раз его инжектит, а дальше просто смотрит за ним

Вопрос по поводу consul service mesh. Вот я хочу настроить mtls и ограничить доступ между сервисами.
Чтобы сервисы начали общаться через envoy c mtls, нужно прописывать upstreams: 'api:4000', тогда я смогу из сервиса обратиться к api через localhost:4000 и смогу настроить intentions, но intention будет работать только на localhost:4000. А если обратиться к api через домены которые создает service discovery, например api.default.svc, api.service.consul, то он проигнорит envoy и напрямую пойдет к api, следовательно, никакой mtls и intention не работает.
Как совместить service discovery и envoy в consul?

Я понял, они хотят внедрить эту фичу, но она весит с 2019-го года.
https://discuss.hashicorp.com/t/do-dns-discovery-and-consul-to-k8s-service-sync-still-enforce-mtls/13246/2
Теперь другой вопрос, как вообще можно обойтись без service discovery?)

Парни, как у вас с требованиями безопасности дела? Есть ли какие-то проблемы с линкованием функционала и тест-кейсов?

"See result" is the best!!

Интересно, что в other у людей

Не знаете, кто на это раз интернет разломал ?