переменные гитлаба - хрень, все равно что на бумажке в столе.
особенно когда у тебя 3к сотрудников в конторе
Старый
Отделение Bereke Bank
переменные гитлаба - хрень, все равно что на бумажке в столе.
Как правило к ним есть доступ ровно у тех же людей, что и у имеющих доступ в волт. У мейнтейнеров реп и админов гитлаба. Так что в плане их доступности для человека разницы нет.
Отделение Bereke Bank
в контейнер ты как будешь пихать эти креды? чтобы не светить их не в секретах, не в энвах, нигде
Я в енвы пихаю. Разницы нет
Shved
с - секьюрити
Старый
Я в енвы пихаю. Разницы нет
а потом к тебе приходят безопассники и говорят что ьтебя взломали
Старый
и ты переделываешь
Старый
через месяц снова
Старый
и тд
Отделение Bereke Bank
да действительно))
Твое приложение так или иначе имеет доступ к значению секрета. Если его скомпрометировать - нет разницы где ты хранишь свой секрет
Shved
Отделение Bereke Bank
да действительно))
А в случае с волтом ты ещё и привязываешься к внешней системе, при падении которой все твои деплои встают колом. Збс
Старый
А в случае с волтом ты ещё и привязываешься к внешней системе, при падении которой все твои деплои встают колом. Збс
😂я прем представил как у меня упал волт кеоторый хранит данные в сцилле на 60 хостах
Shved
во 1х волт умеет в кучу всего.
во 2х ты можешь инжектить креды прямо в под без засвета их где либо.
в 3х ты можешь централизовано это менять и легко отзывать/генерить токены
в 4х ты просто легко даешь разрабам доступ на любой 'get' внутри куба, и не даешь им exec в контейнеры, все, они никогда не узнают креды от бд и прочих внешних вещей.
Отделение Bereke Bank
а потом к тебе приходят безопассники и говорят что ьтебя взломали
Меня скорее линчуют разрабы за сломанный или не интуитивный деплой из-за продукта хашикорп
Andrey
во 1х волт умеет в кучу всего.
во 2х ты можешь инжектить креды прямо в под без засвета их где либо.
в 3х ты можешь централизовано это менять и легко отзывать/генерить токены
в 4х ты просто легко даешь разрабам доступ на любой 'get' внутри куба, и не даешь им exec в контейнеры, все, они никогда не узнают креды от бд и прочих внешних вещей.
обычно разрабам нафиг не нужен гет, а нужен именно exec
Старый
Меня скорее линчуют разрабы за сломанный или не интуитивный деплой из-за продукта хашикорп
а у меня разрабы делавют поставленные мной задачи и спрашивают у меня как что будет
Старый
может ты лох что не умеет себя ставить?
Shved
еще и в прод
Igor
обычно разрабам нафиг не нужен гет, а нужен именно exec
разрабам экзес нужен только в дев, максимум qa
Andrey
если так ставить вопрос, то тогда нафиг им вообще туда доступ?
Igor
в прод это уже зашквар
Shved
вкорячивая волт, ты делаешь 1 точку, в которой можно легко и центролизованно изменить все креды вообще для всего чего хочешь
Shved
разбивая доступы админам по группам ад
Shved
итд
Shved
ну а если у тебя волт "упал" - то извини. ты сам дурак, что сделал систему которая упала.
Nurmukhamed
Меня скорее линчуют разрабы за сломанный или не интуитивный деплой из-за продукта хашикорп
ТОО «EdenPrime” с радостью поможет всем казахстанским разрабам
Nurmukhamed
это на кой им exec?
Многие ещё требуют инстансы с работающим OpenSSH.
Внятно объяснить зачем не могут
Старый
если так ставить вопрос, то тогда нафиг им вообще туда доступ?
иногда увы нужен, это как у нас ибшники отняли права от логов ярна и узи у разрабов, работа встала вообще
Старый
а ёлку на 600 тб никто не готов ставить оказался
Отделение Bereke Bank
ну а если у тебя волт "упал" - то извини. ты сам дурак, что сделал систему которая упала.
У меня консул видел 10 секундные таймауты там где их нет.
Так шо нет уж) от хашикорп я готов ждать все
Shved
Многие ещё требуют инстансы с работающим OpenSSH.
Внятно объяснить зачем не могут
ну тут уже вопрост твоего софта и твой хлеб в том самом "девопс"
Shved
нужно уметь правильно посылать в жопу
Shved
все просто
Andrey
иногда увы нужен, это как у нас ибшники отняли права от логов ярна и узи у разрабов, работа встала вообще
ну вот если нужен, то от гет в кубе мало толку
Старый
а вот когда надо идти потом в hive смотреть - уже нужны креды
Shved
У меня консул видел 10 секундные таймауты там где их нет.
Так шо нет уж) от хашикорп я готов ждать все
везде есть свои недостатки и волт не исключение, но хранить креды в том что ты перечислил это максимально не секьюрно и в больших компаниях, особенно которые сертификации на безу проходят, бьют по голове за такое
Отделение Bereke Bank
вкорячивая волт, ты делаешь 1 точку, в которой можно легко и центролизованно изменить все креды вообще для всего чего хочешь
Нет. Ты получаешь
1) ансибл, управляющий инфрой, в котором уже есть все доступы
2) волт, в котором это все дублируется
Отделение Bereke Bank
Забываешь что-то сделать в одном месте - получаешь не тот результат, который ждёшь
Shved
как скажешь
Shved
мне влом уже с тобой спорить, честно
Отделение Bereke Bank
во 1х волт умеет в кучу всего.
во 2х ты можешь инжектить креды прямо в под без засвета их где либо.
в 3х ты можешь централизовано это менять и легко отзывать/генерить токены
в 4х ты просто легко даешь разрабам доступ на любой 'get' внутри куба, и не даешь им exec в контейнеры, все, они никогда не узнают креды от бд и прочих внешних вещей.
1) не сомневаюсь
2) приложение их все равно видит. Не важно заинжектил ты их или просто передал в env
3) лишние телодвижения на промежуточном звене в cicd?
4) у моих нет доступа к серверам. Никакого
Andrey
Нет. Ты получаешь
1) ансибл, управляющий инфрой, в котором уже есть все доступы
2) волт, в котором это все дублируется
зачему ансиблу доверять управление секретами? Он может их использовать, но раздавать то им зачем?
Отделение Bereke Bank
зачему ансиблу доверять управление секретами? Он может их использовать, но раздавать то им зачем?
Банальный пример - создать бд и пользователя к ней для нового сервиса.
Эти креды у тебя уже появляются в groupvars/hostvars. В зашифрованном виде.
И мне или ещё кому-нибудь теперь нужно
1) продублировать их в волт
2) следить за их актуальностью в волте
Ну если ты создаешь бд руками - ок.
Andrey
Банальный пример - создать бд и пользователя к ней для нового сервиса.
Эти креды у тебя уже появляются в groupvars/hostvars. В зашифрованном виде.
И мне или ещё кому-нибудь теперь нужно
1) продублировать их в волт
2) следить за их актуальностью в волте
Ну если ты создаешь бд руками - ок.
покажи мне того человека, который посоветовал тебе такой сценираий :)
Отделение Bereke Bank
Тебя скорее взломают из-за разработчика, продавшего свой не почищенный ноут на Авито, в котором пароль VPN в файле в блокноте.
Раз уж мы о безопасности говорим
Shved
а вы знаете толк в извращениях
Отделение Bereke Bank
покажи мне того человека, который посоветовал тебе такой сценираий :)
То есть ты создаешь бд вручную?)
Andrey
нет
Andrey
но я не думаю, что волт тебе советовали для такого
Andrey
смысл в волте, если у тебя секреты где-то ещё?
Отделение Bereke Bank
Shved
Andrey
не знаю, о чём ты.
Отделение Bereke Bank
Ладно забей. Все равно каждый при своем останется
Andrey
тебе никто не советует скрещивать ansible-vault и hashicorp vault
Отделение Bereke Bank
У меня не приятный осадок после консула с его 10 сек таймаутами, вызывавшими смену мастера stolon-а по 5-6 раз в час
Отделение Bereke Bank
Фантомными таймаутами
Никита
я в принципе считаю, не готовы платить 250+ на кубер даже смотреть не стоит
именно так, но хомяк считает, что можно за 120к уметь
kubectl apply -f
George
У меня не приятный осадок после консула с его 10 сек таймаутами, вызывавшими смену мастера stolon-а по 5-6 раз в час
Консул прекрасен. А столон сам по себе глюкало
George
именно так, но хомяк считает, что можно за 120к уметь
kubectl apply -f
Хомяк прав ) для этого мозгов не надо
George
Значит, можно и не платить ) а все проблемы решать invocation of Gaal 👹 шайтан
Никита
Хомяк прав ) для этого мозгов не надо
но их то ставят рулить кубером, в итоге получается то, что получается
Никита
Хомяк прав ) для этого мозгов не надо
но это не «знание кубера» которое просят в вакансии
Отделение Bereke Bank
Консул прекрасен. А столон сам по себе глюкало
ага, еслиб только не консул валил в лог свои "i/o timeout")
Konstantin
Shved
Значит, можно и не платить ) а все проблемы решать invocation of Gaal 👹 шайтан
уже и название придумали?) ну теперь то точно дело за малым
Shved
Alexander
Меня скорее линчуют разрабы за сломанный или не интуитивный деплой из-за продукта хашикорп
В Казахстане девопсов линчуют?