Из неудобств - необходимость токены обновлять и вообще следить за этим

Могу на конкретные вопросы ответить, если надо

Мы его ещё как CA внутри используем

Почитал статью. Спасибо за нее

Сложилось впечатление переусложненности

Хотя вроде каждый этап прост и понятен

Оно не сложно, просто необычно

Надо привыкнуть

А есть вариант типа envconsul?

И нужен человек, который будет пушить переход на сабж

Чтобы по запросу получить все доступные токену секреты в переменных окружения

Так envconsul поддерживает волт

Не уверен прямо про такой кейс

Но поддержка была

Ну я видел что он там есть

А можно в волте файлы хранить?

Gpg ключ например

Только в виде последовательности текста

Ssh ключ

Да, гпг и ссш мы храним

как строчки

А как их от туда добывать?

Так эе запросом и складывать в output какой то

backup_storage_user: "{{ lookup('vault', 'secret/infra/selectel_storage/backup_kms/kms_storage_user', 'value') }}"

Мы ансибл используем, там лукап есть

Если готовые инструменты не подойдут - то волт сервит простой апи

backup_storage_user: "{{ lookup('vault', 'secret/infra/selectel_storage/backup_kms/kms_storage_user', 'value') }}"

это с хашикорповским?

угу

тоже хочу но все никак

а что в качестве бекенда юзаете?

$ curl \ -H "X-Vault-Token: f3b09679-3001-009d-2b80-9c306ab81aa6" \ -X GET \ http://127.0.0.1:8200/v1/secret?list=true вот так лист получить можно

а дальше обрабатывай, как удобно

бэкенд - консул

а, ок. пасиб

Опять все упирается в консул

Чёрт

Можно даже файлом раздавать

Кажется придется его заюзать

Да я понимаю да

Там пяток бэкендов для секретов

Из отступлений от статьи - мы перешли полностью на рутовые ключи для управления волтом

Генерить кучу токенов с разграничением видимости по сервисам и опсам - это прям неудобно

Основная боль начинается с момента создания ридонли токенов

Чтобы ограниченный токен для управления мог создать ридонли токен с определенной политикой - он должен заранее этой политикой обладать

Пока политики не устаканились придётся постоянно пересоздавать все эти токены и дергать людей, у которых рутовые ключи есть от волта

мне проще. у меня рутовык ключи будут у меня и видимо в сейфе

то есть ты один?

ты уверен, что хочешь усложнять и не можешь все секреты просто в репу складывать?

ну почти один.

у меня публичная репа

в ci надо хранить ключи для всяческих сервисов

мы рассматривали сначала хранить в дженкинсе. ну там я писал, угу

ну вот я устану их заводить

у меня просто уже 46 реп

в большинстве нужен токен для aws

и секрет

в некоторых надо таикх ключей три

в большинстве нужен токен для aws

а роли невзлетели ?

при компроментации ключа надо его быстреньпо поменять

попробуй на бекенде с файлом потренируйся. если пойдет\понравится - то уже можно про что-то более удобное подумать

консул мы используем там ещё и потому, что там всё хорошо с ha

да я у меня тоже консул но уже не на ci

Если тебе достаточно поднимать инстанс из бэкапа - то можно обойтись

на ci он мне ненужен пока

У меня в похожей ситуации деплоится ансиблом

а вся эта вот требуха хранится в ansible vault

я тоже примерно к такому пришел, у нас гитлаб по http+ssh. Есть специальный CI юзер - который имеет доступ только до репы где ключи лежат и скрипты деплоя, шифрованные ansible-vault. При запуске сборки/деплоя - этим юзером вытягивается репа с ключами, расшифровывается (пароли через переменные репы передаются) вытягивается репа где скрипты деплоя лежат и запускается. Получается 3 разных репы - софт, его деплой, ключи

это очень геморно стало, сейчас тоже смотрю в сторону Vault

Короче, я тут попробовал графит для стореджа вместо influxdb

И, похоже, на неделе буду мигрировать на него

он чот резкий как понос

а инфлюкс всё-таки закапывать

добро пожаловать в секту)

я подчёркиваю — для стореджа

энтрипоинт всё равно риман

меня никто не переубедит уже, мне кажется

Короче, я тут попробовал графит для стореджа вместо influxdb

Какой графит? Что на питоне?

меня никто не переубедит уже, мне кажется

а ты риман аля статсд используешь, только более широко ?

@freeseacher да можно и здесь. Мой пойнт в том, что чистые опсы и чистые девы уходят в прошлое постепенно, кроме специфичных мест