AD
мне просто интересно понять
Size: a a a
2020 November 16
AD
или Vault используется как источник правды?
YS
интересный кейс. а зачем руками учетки создавать? нет возможности 3rd party identity provider пользовать? через ldap например?
Тип теже самые approle
YS
У нас есть люди - АД, сервисы approle, немного легаси userpass. и кубовая авторизация.
YS
И всюду политики передаются при создании уз как пейлоад.
P.s. кроме АД, там связка АД групп с политиками волта
P.s. кроме АД, там связка АД групп с политиками волта
AD
ну если брать auth backend для куба или ad то настройки самого бэкенда меняются крайне редко а все изменения большей частью в группах
AD
как вариант можно auth backend создавать через что-то еще и потом через data его в терраформе использовать
YS
как вариант можно auth backend создавать через что-то еще и потом через data его в терраформе использовать
Можно, но не единообразно.
AD
сложно быть умным и красивым 🙂
AD
еще бы я подумал о том чтобы создавать больше auth backend
AD
например auth backed под команду
YS
Ад настройки мы меняли раза 3 за 3 года, а аппроль 1 раз. Раньше разрешали оч долгие токены, но они валялись без дела, и забили БД. Поэтому впилили глобальное ограничение на сутки. И ни дольше. Кроме Period токенов
AD
тогда если его нужно пересоздать то последствия меньше
YS
Веб замусорится
YS
У нас больше 100 команд
Писать ручками в куда авторизуешься можно, но не оч удобно
Писать ручками в куда авторизуешься можно, но не оч удобно
AD
а по namespace раскидать?
YS
Бесплатная версия. Бизнес не хочет платить, ему норм то как есть уже
D
Бесплатная версия. Бизнес не хочет платить, ему норм то как есть уже
привет! а кто-нибудь vault с ансиблом дружил? не могу залогиниться на хост с паролем, который получила из vault-а. Пароль получила по инструкции https://docs.ansible.com/ansible/latest/collections/community/general/hashi_vault_lookup.html#examples
YS
привет! а кто-нибудь vault с ансиблом дружил? не могу залогиниться на хост с паролем, который получила из vault-а. Пароль получила по инструкции https://docs.ansible.com/ansible/latest/collections/community/general/hashi_vault_lookup.html#examples
host_pass: "{{
lookup(
'hashi_vault'
'secret=kv_name/data/path/to/secret:data'
auth_method=approle
role_id={{ ansible_role_id }}
secret_id={{ ansible_secret_id }}
url={{ vault_url }}
).value
}}"KV v2, поэтому secret:data и data в пути. Пароль хранится в поле value
Как запрашивать кастомную версию, а не последнюю - не разобрались.
В шифрованном group_vars/all/vault.yml храним
---
vault_url: <redacted>
ansible_role_id: <redacted>
ansible_secret_id: <redacted>
D
host_pass: "{{
lookup(
'hashi_vault'
'secret=kv_name/data/path/to/secret:data'
auth_method=approle
role_id={{ ansible_role_id }}
secret_id={{ ansible_secret_id }}
url={{ vault_url }}
).value
}}"KV v2, поэтому secret:data и data в пути. Пароль хранится в поле value
Как запрашивать кастомную версию, а не последнюю - не разобрались.
В шифрованном group_vars/all/vault.yml храним
---
vault_url: <redacted>
ansible_role_id: <redacted>
ansible_secret_id: <redacted>
так, это же не тот, который штаный хашикорповский для ансибла, да?