В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

ru_hashicorp

725 membersпожаловаться на группу
2020 November 12

c

citius in ru_hashicorp
это все для внешнего волта конечно, если волт в кластере, то все проще
источник
17:22пожаловаться#1

c

cybervagabond 🧝🏻‍♂️... in ru_hashicorp
citius
деплой инжектора
https://gist.github.com/imcitius/f05b1645d109dc4076f59870d2054356


скрипт, который создает в волте нужные для обратной авторизации объекты
https://gist.github.com/imcitius/08a2b8f7cc2df03cb544d9b58c3e35e3
Gist
Vault helm chart
Vault helm chart . GitHub Gist: instantly share code, notes, and snippets.
Огонь, благодарю добрый человек, пошел курить конфиги
источник
17:23пожаловаться#2

c

citius in ru_hashicorp
кстати если в деплое чарта включишь фильтр по Namespace - работать нихера не будет, я так и не понял почему
источник
17:24пожаловаться#3

c

cybervagabond 🧝🏻‍♂️... in ru_hashicorp
citius
кстати если в деплое чарта включишь фильтр по Namespace - работать нихера не будет, я так и не понял почему
тогда ему много cpu нести придется(
источник
17:25пожаловаться#4

c

citius in ru_hashicorp
ну я не говорю что оно вообще не работает, но я не разобрался пока.
если вдруг сам разберешься - отпиши плз )
источник
17:25пожаловаться#5

c

citius in ru_hashicorp
советую запустить без, и потом уже ковырять
источник
17:26пожаловаться#6

c

citius in ru_hashicorp
потому что там миллион ручек, нет нормальных логов, и если не понимаешь взаимодействий - все волосы с жопы повыдергаешь
источник
17:26пожаловаться#7

c

cybervagabond 🧝🏻‍♂️... in ru_hashicorp
удивительно, hashicorp ведь крупная организация (да и в докладах даже 2019 года, никто этих проблем не освещал), окей, сейчас попробую все сетапнуть, если что вернусь с фидбеком
источник
17:27пожаловаться#8

c

citius in ru_hashicorp
мне больше удивительно что для кубера и гитопс нет нормальных решений с храненим секретов.
приседания со всякими там git-secret или sops, это на мой взгляд детский сад какой-то.

(но это офтопик тут конечно)
источник
17:28пожаловаться#9

SM

Sergei Mikhaltsov in ru_hashicorp
дак настраиваешь интерграцию гитлуба и волта, какие тебе еще хранилки секретов нужны?
источник
17:39пожаловаться#10

AY

Alexey Yurchenko in ru_hashicorp
citius
мне больше удивительно что для кубера и гитопс нет нормальных решений с храненим секретов.
приседания со всякими там git-secret или sops, это на мой взгляд детский сад какой-то.

(но это офтопик тут конечно)
там что нет динамических секретов?

А в чем проблема kubectl create secret?
Оно там в безопасности для тех у кого нет доступов к kubectl, а те у кого есть и так свободно читают секреты через inspect
источник
17:42пожаловаться#11

c

citius in ru_hashicorp
Sergei Mikhaltsov
дак настраиваешь интерграцию гитлуба и волта, какие тебе еще хранилки секретов нужны?
как это с гитопс подходом поможет?
источник
17:43пожаловаться#12

AY

Alexey Yurchenko in ru_hashicorp
как как это работает с vault тем же в плане gitops?
источник
17:43пожаловаться#13

c

citius in ru_hashicorp
Alexey Yurchenko
как как это работает с vault тем же в плане gitops?
ну дык инжектор же. при создании подов инжектор втыкает в них сайдкар с consul-template.
источник
17:44пожаловаться#14

c

citius in ru_hashicorp
а админ заранее настраивает что волт доверяет токену сервис юзера из кубера.
источник
17:44пожаловаться#15

AY

Alexey Yurchenko in ru_hashicorp
родные секреты втыкаются через mount в под... тоже самое же
источник
17:45пожаловаться#16

c

citius in ru_hashicorp
да не хочу я родные секреты, я хочу единое хранилище
источник
17:45пожаловаться#17

c

citius in ru_hashicorp
у меня кластер волта обслуживает один несколько десятков окружений
источник
17:45пожаловаться#18

c

citius in ru_hashicorp
это единая точка где хранятся секреты - сиречь их сохранить проще, бекапить проще и т.д.
источник
17:46пожаловаться#19

c

cybervagabond 🧝🏻‍♂️... in ru_hashicorp
citius
деплой инжектора
https://gist.github.com/imcitius/f05b1645d109dc4076f59870d2054356


скрипт, который создает в волте нужные для обратной авторизации объекты
https://gist.github.com/imcitius/08a2b8f7cc2df03cb544d9b58c3e35e3
Gist
Vault helm chart
Vault helm chart . GitHub Gist: instantly share code, notes, and snippets.
в общем с конфигом все верно, думаю дело в kubernetes < 1.18
этот вебхук зааффектил весь кластер, так, что деплойменты начали жутко подвисать (
сейчас попробую лабу с 1.18 собрать, что бы точно корень проблемы понять

они наверное написали хелм чарт, который работает ок только с новыми версиями куба)
источник
19:33пожаловаться#20