причина ?

потому что любой придурок, который взламывает гитлаб - получает доступ к ним

ну, и утечка gitlab secret через пайплайн

(может ты не хочешь, чтобы рядовые разрабы могли их видеть)

решается protected variables-runners, но это такое

Меня смущает что докер - это инструмент локально что-то потестить, не более

Задай свой вопрос более полно ? На средней нагрузке тебе пофиг - докер или нет. Удобно - дев и прод среда разворачиваются одинаково. А до хайлоад еще дожить надо.

Меня смущает что докер - это инструмент локально что-то потестить, не более

ответили. Все верно. Это универсальный способ запаковки приложений

Задай свой вопрос более полно ? На средней нагрузке тебе пофиг - докер или нет. Удобно - дев и прод среда разворачиваются одинаково. А до хайлоад еще дожить надо.

Я про даунтайм при деплое новой версии. Про хайлоад не понял

Вот если я раздаю 6 гигабит на 2к клиентов - у меня уже хайлоад или ещё нет?

Я про даунтайм при деплое новой версии. Про хайлоад не понял

докер не решает проблемы даунтайма. решает пайплайн - как напишешь - так и будет. хочешь docker-compose down && up - будет даунтайм хочешь docker-compose up -d - может быть чуть меньше, но будет хочешь canary / blue-green деплой - делай, но причём тут докер ?

Вот если я раздаю 6 гигабит на 2к клиентов - у меня уже хайлоад или ещё нет?

у каждого свой хайлоад (с).

докер не решает проблемы даунтайма. решает пайплайн - как напишешь - так и будет. хочешь docker-compose down && up - будет даунтайм хочешь docker-compose up -d - может быть чуть меньше, но будет хочешь canary / blue-green деплой - делай, но причём тут докер ?

А blue/green как делается на докере?

А blue/green как делается на докере?

Ручками на балансёре ?

А blue/green как делается на докере?

в гугле обычно. но в целом - тебе нужно подумать.

Ручками на балансёре ?

?????

Ну т.е. кубер такое умеет, да.

без обид - эта тема очень широкая - тут нет единого совета в чате прежде, чем делать - нужно много читать и пробовать. docker-compose up -d - намного проще и простой незаметен ;)

докер не решает проблемы даунтайма. решает пайплайн - как напишешь - так и будет. хочешь docker-compose down && up - будет даунтайм хочешь docker-compose up -d - может быть чуть меньше, но будет хочешь canary / blue-green деплой - делай, но причём тут докер ?

А с up -d все равно ощутимо. Например, пока постгрес взлетит

Т.е. это где-то 20 секунд точно есть

А с up -d все равно ощутимо. Например, пока постгрес взлетит

или компонент не взлетит - да, известно. повторюсь - канарейки и голубые-зелёные - это уже конкретно под приложение нужно пилить. или в кубер идтить.

Ну т.е. кубер такое умеет, да.

А в кубере оно кстати как? Длинные паузы при выкате деплоймента?

А в кубере оно кстати как? Длинные паузы при выкате деплоймента?

как напишешь - так и будет, что началось-то ? редиснес и ливнесс пробы, вот это всё.

А в кубере оно кстати как? Длинные паузы при выкате деплоймента?

Afaik, просто 2 версии существуют параллельно

Afaik, просто 2 версии существуют параллельно

ISTIO

????

Afaik, просто 2 версии существуют параллельно

нэд, кубер к деплою отношения не имеет - это просто система оркестрации контейнеров. Кто там деплоем занимается - его задача это всё контролировать.

Окей, а разворачивал ли кто кубер + cilium?

Окей, а разворачивал ли кто кубер + cilium?

нет

нэд, кубер к деплою отношения не имеет - это просто система оркестрации контейнеров. Кто там деплоем занимается - его задача это всё контролировать.

Ну так а кто балансит там трафик на поды?

как напишешь - так и будет, что началось-то ? редиснес и ливнесс пробы, вот это всё.

Это все не совсем про блюгрин. Пробы ничего могут и не показать, а ливанут юзеры и привет.

толку-то ? запроси на хостовой машине env процесса и читай в своё удовольствие.

С моей точки зрения env для приватных данных - а-ля ключи, секрет мастер id или доступ к монго - это дополнительная точка утечки данных

Ну так а кто балансит там трафик на поды?

ты можешь куберу сказать, чтобы он это делал. Но сам по себе он не знает, что ты хочешь

концептуально у тебя балансировщик вообще аппаратный F5 стоят какой-нибудь

С моей точки зрения env для приватных данных - а-ля ключи, секрет мастер id или доступ к монго - это дополнительная точка утечки данных

предложи best practice

концептуально у тебя балансировщик вообще аппаратный F5 стоят какой-нибудь

Простите, сблеванул.

Простите, сблеванул.

балансировщик ? ингресс и это все ? на деле - я на стадии внедрения кубера. Пока опыта нет.

бля

ingress отчасти решает эту проблему

Как-то странно цитата вставилась и изменить не удаётся. https://t.me/devops_ru/445434 было ответом сюда https://t.me/devops_ru/445427

предложи best practice

Пока что лучшее что нашёл - использование конфиг файла. Доступ к нему ограничивается правами файловой системы. Для ограничения env - патчить ядро для ограничения proc

да блин. ребята. ну

Это все не совсем про блюгрин. Пробы ничего могут и не показать, а ливанут юзеры и привет.

так я и говорю - не просто - читать нужно и адаптировать. единого рецепта нет.

env утекает через хостовую машину. там никого нет config файл - я лично не против. Пускай будет.

procfs docker не даст читаь процессу из другого контейнера

так я и говорю - не просто - читать нужно и адаптировать. единого рецепта нет.

+100

С моей точки зрения env для приватных данных - а-ля ключи, секрет мастер id или доступ к монго - это дополнительная точка утечки данных

в кубер волт встаивают, тебя это успокоит ?)

env утекает через хостовую машину. там никого нет config файл - я лично не против. Пускай будет.

А как насчет лёгкого доступа из кода к env в то время как вытянуть данные конфига - сложнее?

Внутри самого контейнера

А как насчет лёгкого доступа из кода к env в то время как вытянуть данные конфига - сложнее?

да пофиг.

да пофиг.

Ну раз пофиг - смысл объятому говорить?

сложность +/- одинакова

А как насчет лёгкого доступа из кода к env в то время как вытянуть данные конфига - сложнее?

В чем разница?)) что из env взять, то из файла

Вот да, если на системе есть рут - о чём мы тут говорим ?

или юзер в контейнере.

Докер, контейнеры - не панацея. Я вообще думаю лет через 10 буду с попкорном читать про волны взлома сервисов на докерах, ибо к тому времени докеризация мозга будет полной а я динозавром

волт или не волт - вот в чём вопрос.

волт или не волт - вот в чём вопрос.

скорее vault

но нужно понимать, что в случае сговора админов и безопасников, они все равно поимеют теперь уже ВСЕ секреты компании разом

В чем разница?)) что из env взять, то из файла

Разница в том что env просто читается (и меняется). Конфиг легче ограничивается.

сервисы будут взламывать не в контейнерах, а сторонние сервисы, секреты которых в волтах хранятся.

сервисы будут взламывать не в контейнерах, а сторонние сервисы, секреты которых в волтах хранятся.

будут искать ключи AWS в гитхаб репах

это дешево и сердито

Разница в том что env просто читается (и меняется). Конфиг легче ограничивается.

м, что проще прочитать из приложения - env или файл конфига

Проще env

будут искать ключи AWS в гитхаб репах

уже находят - всё ок.

Мало того при наличии скажем так в контейнере 2х процессов с разными даже юзерами ( и так делают ага) при отстутствии ограничения прок - читается env легко. В случае с конфигом - возможно разграничение

парни, вы что донести-то хотите ? Что vault - спасение ? ну да, кредентшналы в репозитории хранить не стоит. нужны секреты на уровне репы, оркестрации или отдельно vault. кто спорит ? Защита это ? Да нет - у кого в контейнер доступ есть - у того и все доступы на блюде есть.

А ещё варианты с понижением юзера Чайлд процесса с правами до readonly

Мало того при наличии скажем так в контейнере 2х процессов с разными даже юзерами ( и так делают ага) при отстутствии ограничения прок - читается env легко. В случае с конфигом - возможно разграничение

можно я не буду спрашивать зачем там 2 процесса с разными правами доступа ?

парни, вы что донести-то хотите ? Что vault - спасение ? ну да, кредентшналы в репозитории хранить не стоит. нужны секреты на уровне репы, оркестрации или отдельно vault. кто спорит ? Защита это ? Да нет - у кого в контейнер доступ есть - у того и все доступы на блюде есть.

Да я вообще хренью страдаю. Вот увидел слово env и чёт понесло

Мало того при наличии скажем так в контейнере 2х процессов с разными даже юзерами ( и так делают ага) при отстутствии ограничения прок - читается env легко. В случае с конфигом - возможно разграничение

да, согласен

парни, вы что донести-то хотите ? Что vault - спасение ? ну да, кредентшналы в репозитории хранить не стоит. нужны секреты на уровне репы, оркестрации или отдельно vault. кто спорит ? Защита это ? Да нет - у кого в контейнер доступ есть - у того и все доступы на блюде есть.

это защита между командами, например

можно я не буду спрашивать зачем там 2 процесса с разными правами доступа ?

Можно. Но самый простой мастер и его child с разными правами для увеличения порога взлома?)

Можно. Но самый простой мастер и его child с разными правами для увеличения порога взлома?)

или сайдкарт какой

с миграциям баз и ВСЕ

еще раз. Строго рекомендую посмотреть доклад. https://www.youtube.com/watch?v=klC4ssaPHZY Смотрите, делайте выводы. Думайте хотите ли ввязываться в это

Самый сложный вариант - это когда sensitive data in memory only. Тогда нужно получать доступ к чтению памяти и тянуть оттуда- это ещё один уровень сложности требуемый особого подхода для взлома

Самый сложный вариант - это когда sensitive data in memory only. Тогда нужно получать доступ к чтению памяти и тянуть оттуда- это ещё один уровень сложности требуемый особого подхода для взлома

да, я тоже хотел про это упомянуть. Верно

https://t.me/devops_ru/445473 и у сайдкара доступ ко всем env основного пода ? https://t.me/devops_ru/445471 прости хосспади. вы про то, что мастер ходит напрямую в волт, а секреты напрямую воркерам передаёт, без всяких волтов и файлов ? но причём тут волт-то ? секрет всё равно в мастере останется.

Самый сложный вариант - это когда sensitive data in memory only. Тогда нужно получать доступ к чтению памяти и тянуть оттуда- это ещё один уровень сложности требуемый особого подхода для взлома

а в памяти он откуда появляется ?

По разному можно делать. Вопрос реализации

https://t.me/devops_ru/445473 и у сайдкара доступ ко всем env основного пода ? https://t.me/devops_ru/445471 прости хосспади. вы про то, что мастер ходит напрямую в волт, а секреты напрямую воркерам передаёт, без всяких волтов и файлов ? но причём тут волт-то ? секрет всё равно в мастере останется.

я про это говорил, что сам сервис очевидно прекрасно знает все секреты, которые ему нужны для работы.

По разному можно делать. Вопрос реализации

ну вариантов 3: * из env * из файлов конфига * по tcp от соседнего сервиса

а в памяти он откуда появляется ?

Гляньте vault-controller для куба от Хайтауэра или лучше ... Забыл разраба((( Там всё описано с картинками

Гляньте vault-controller для куба от Хайтауэра или лучше ... Забыл разраба((( Там всё описано с картинками

там что-то отличное от https://t.me/devops_ru/445481 ?

Если из env, то его надо чистить сразу после старта предварительно скопировав в переменные кода

Если файл - то убирать с чтения мастер процессом от чайлдов и передавать на фотке

там что-то отличное от https://t.me/devops_ru/445481 ?

Там как надо, ну лучшее что пока есть

Кажется у Флант ещё есть свой контроллер

Там как надо, ну лучшее что пока есть

можно кратко - что там - что-то отличное от описанного сценария + дополнение от https://t.me/devops_ru/445484

Если по tcp то нужны ещё более жёсткие схемы валидация и разовых токенов с защитой от подмены tcp трафика , шифрованием и прочая прочая

Кажется у Флант ещё есть свой контроллер

сожгите их

можно кратко - что там - что-то отличное от описанного сценария + дополнение от https://t.me/devops_ru/445484

Я с телефона, сорри

пиара больше, чем толку

Гугл vault-cpntroller

Меня смущает что докер - это инструмент локально что-то потестить, не более

Что ты под докером подразумеваешь? Контейнеры в общем или dockerd?

Я с телефона, сорри

было бы интересно с фактами познакомиться. на текущий момент ясно, что так или иначе - важные данные в контейнер передаются. потому что банально - контейнеру нужно вытащить нужные credentials. в идеале контейнер должен их затереть, а контроллер данных - ограничить доступ к этим данным. если злоумышленник уже проник на хост - защита уже бессмысленна - волк в стаде овец и это всё.

было бы интересно с фактами познакомиться. на текущий момент ясно, что так или иначе - важные данные в контейнер передаются. потому что банально - контейнеру нужно вытащить нужные credentials. в идеале контейнер должен их затереть, а контроллер данных - ограничить доступ к этим данным. если злоумышленник уже проник на хост - защита уже бессмысленна - волк в стаде овец и это всё.

Еба, говорю глянь репу, чего гадать?

Там даже схема ?

Там даже схема ?

то есть мы защитились от того, что у нас токен скрали ? на самом деле круто. спасибо.