YM
при использовании hashicorp vault HA нужно делать обертку в виде nginx /ha proxy
Size: a a a
2020 June 10
YM
не подскажете? или есть свои механизмы единого IP
dg
да не обязательно, сами они пишут что lb это чаще прихоть клиента https://www.vaultproject.io/docs/concepts/ha#behind-load-balancers, в целом и так неплохо живет, а попадать всегда на активный экземпляр можно с помощью консул-сервисов
YM
да не обязательно, сами они пишут что lb это чаще прихоть клиента https://www.vaultproject.io/docs/concepts/ha#behind-load-balancers, в целом и так неплохо живет, а попадать всегда на активный экземпляр можно с помощью консул-сервисов
в общем как я понимаю можно и в нжинкс запилить
YM
пока до консула еще не добрался)
S
в общем как я понимаю можно и в нжинкс запилить
Лучше уж traefik
VR
Вчера спрашивал про hvac либу и запрос данных из kv v2.
В общем это дока кривая.
Для запроса данных и в2 стора надо использовать как path так и mount_point
read_response = client.secrets.kv.v2.read_secret_version(path='aws_credentials', mount_point='monitoring')
В общем это дока кривая.
Для запроса данных и в2 стора надо использовать как path так и mount_point
read_response = client.secrets.kv.v2.read_secret_version(path='aws_credentials', mount_point='monitoring')
TB
при использовании hashicorp vault HA нужно делать обертку в виде nginx /ha proxy
не обязательно, standby нода запросы на активную будет отправлять, главное, чтобы grpc порт был доступен
YM
не обязательно, standby нода запросы на активную будет отправлять, главное, чтобы grpc порт был доступен
наверное в моем случае нужна обертка , т.к. хашикорп ваулт будет использовать дженкинс
TB
наверное в моем случае нужна обертка , т.к. хашикорп ваулт будет использовать дженкинс
лучше проверить, но по-моему не обязательно
внутри "кластера" запросы форвардятся по грпс, а стучатся в волт можно и по хттп
внутри "кластера" запросы форвардятся по грпс, а стучатся в волт можно и по хттп
TB
но лучше попробовать, чтобы убедиться
KP
Привет!
У Vault Token Roles есть аргумент
Я правильно понимаю что там нельзя использовать glob? Ну вроде
У Vault Token Roles есть аргумент
allowed_policies - https://www.vaultproject.io/api-docs/auth/token#create-update-token-roleЯ правильно понимаю что там нельзя использовать glob? Ну вроде
path/to/policy/*?
YS
Привет!
У Vault Token Roles есть аргумент
Я правильно понимаю что там нельзя использовать glob? Ну вроде
У Vault Token Roles есть аргумент
allowed_policies - https://www.vaultproject.io/api-docs/auth/token#create-update-token-roleЯ правильно понимаю что там нельзя использовать glob? Ну вроде
path/to/policy/*?Привет, если правильно помню, там перечисляются политики с которыми можно создать токен.
KP
Да и я хотел бы там использовать glob и кажется это не работает
KP
{"errors":["token policies ([\"default\" \"saltstack/by-role/mysql\"]) must be subset of the role's allowed policies ([\"default\" \"saltstack/by-role/*\"])"]}SM
дык а чего не сделать полиси с нужными правами?
KP
SM
есть у кого пример джоб с лайфциклами,csi прочими модными штуками?
2020 June 11
G
hashicorp/consul tagged: v1.7.4
Link: https://github.com/hashicorp/consul/releases/tag/v1.7.4
Release notes:
Link: https://github.com/hashicorp/consul/releases/tag/v1.7.4
Release notes:
Version 1.7.4
G
hashicorp/consul description changed: v1.7.4
Link: https://github.com/hashicorp/consul/releases/tag/v1.7.4
Release notes:
Link: https://github.com/hashicorp/consul/releases/tag/v1.7.4
Release notes:
## 1.7.4 (June 10, 2020)More
SECURITY:
* Adding an option `http_config.use_cache` to disable agent caching for http endpoints, because Consul’s DNS and HTTP API expose a caching feature susceptible to DoS. [CVE-2020-13250](https://cve.mitre.org/cgi...