A
Типа не светить в инфе
Size: a a a
2020 January 09
MA
путь боли, конечно же
это сейчас путь боли.. есть волт, есть говноскрипт, который генерит сикрет и в помент деплоя его подкидывает, а в деплойменте нписано envFrom: - secretRef:
MF
> а в деплойменте нписано envFrom: - secretRef:
вот я про это и говорю
вот я про это и говорю
MF
всегда так делаю ©
MA
а как 12фа противоречат переменным окружения, которые ты из сикретиков насуёшь в под?
а вот эта вот безопасность, что к переменным окружения можно спокойно получать доступ с хоста или из соседних контейнеров на ноде или пофиг?
MF
а в каком случае ты не сможешь получить его с хоста? 🤔
MA
в любом =)
MA
ясно, оставлю как есть
MF
тебе на хосте ps -p ... забанили чтоли? :D
MF
ну и таким путём ты угождаешь и нашим и вашим
MF
приложенька вся из себя 12фа-компатибля - конфигурируется енвварами
MF
а енввары все в сикретиках, как нам кубернетес диктует
MA
всегда так делаю ©
А ты используешь какие-то сторонние решения или самописный скрипт? Просто блин хотелось vault-agent, а он, собака, не умеет в энв
https://github.com/hashicorp/vault-k8s/issues/14
https://github.com/hashicorp/vault-k8s/issues/14
MF
не совсем понял вопроса
MF
сторонние решения для чего?
PK
Там у них вроде сайдкар был, который из волта брал значения и в переменные засовывал.
MF
ну сайдкар только заради сикретиков - это уже немного эребор, мне кажется
PR
А ты используешь какие-то сторонние решения или самописный скрипт? Просто блин хотелось vault-agent, а он, собака, не умеет в энв
https://github.com/hashicorp/vault-k8s/issues/14
https://github.com/hashicorp/vault-k8s/issues/14
у куба есть KMS provider для шифрования секретов. Или хочется прямо секреты в волте держать?
MA
Хочется
MF
ты не должен этого хотеть ©