Ну я видел что он там есть

А можно в волте файлы хранить?

Gpg ключ например

Только в виде последовательности текста

Ssh ключ

Да, гпг и ссш мы храним

как строчки

А как их от туда добывать?

Так эе запросом и складывать в output какой то

backup_storage_user: "{{ lookup('vault', 'secret/infra/selectel_storage/backup_kms/kms_storage_user', 'value') }}"

Мы ансибл используем, там лукап есть

Если готовые инструменты не подойдут - то волт сервит простой апи

backup_storage_user: "{{ lookup('vault', 'secret/infra/selectel_storage/backup_kms/kms_storage_user', 'value') }}"

это с хашикорповским?

угу

тоже хочу но все никак

а что в качестве бекенда юзаете?

$ curl \ -H "X-Vault-Token: f3b09679-3001-009d-2b80-9c306ab81aa6" \ -X GET \ http://127.0.0.1:8200/v1/secret?list=true вот так лист получить можно

а дальше обрабатывай, как удобно

бэкенд - консул

а, ок. пасиб

Опять все упирается в консул

Чёрт

Можно даже файлом раздавать

Кажется придется его заюзать

Да я понимаю да

Там пяток бэкендов для секретов

Из отступлений от статьи - мы перешли полностью на рутовые ключи для управления волтом

Генерить кучу токенов с разграничением видимости по сервисам и опсам - это прям неудобно

Основная боль начинается с момента создания ридонли токенов

Чтобы ограниченный токен для управления мог создать ридонли токен с определенной политикой - он должен заранее этой политикой обладать

Пока политики не устаканились придётся постоянно пересоздавать все эти токены и дергать людей, у которых рутовые ключи есть от волта

мне проще. у меня рутовык ключи будут у меня и видимо в сейфе

то есть ты один?

ты уверен, что хочешь усложнять и не можешь все секреты просто в репу складывать?

ну почти один.

у меня публичная репа

в ci надо хранить ключи для всяческих сервисов

мы рассматривали сначала хранить в дженкинсе. ну там я писал, угу

ну вот я устану их заводить

у меня просто уже 46 реп

в большинстве нужен токен для aws

и секрет

в некоторых надо таикх ключей три

в большинстве нужен токен для aws

а роли невзлетели ?

при компроментации ключа надо его быстреньпо поменять

попробуй на бекенде с файлом потренируйся. если пойдет\понравится - то уже можно про что-то более удобное подумать

консул мы используем там ещё и потому, что там всё хорошо с ha

да я у меня тоже консул но уже не на ci

Если тебе достаточно поднимать инстанс из бэкапа - то можно обойтись

на ci он мне ненужен пока

У меня в похожей ситуации деплоится ансиблом

а вся эта вот требуха хранится в ansible vault

я тоже примерно к такому пришел, у нас гитлаб по http+ssh. Есть специальный CI юзер - который имеет доступ только до репы где ключи лежат и скрипты деплоя, шифрованные ansible-vault. При запуске сборки/деплоя - этим юзером вытягивается репа с ключами, расшифровывается (пароли через переменные репы передаются) вытягивается репа где скрипты деплоя лежат и запускается. Получается 3 разных репы - софт, его деплой, ключи

это очень геморно стало, сейчас тоже смотрю в сторону Vault

Короче, я тут попробовал графит для стореджа вместо influxdb

И, похоже, на неделе буду мигрировать на него

он чот резкий как понос

а инфлюкс всё-таки закапывать

добро пожаловать в секту)

я подчёркиваю — для стореджа

энтрипоинт всё равно риман

меня никто не переубедит уже, мне кажется

Короче, я тут попробовал графит для стореджа вместо influxdb

Какой графит? Что на питоне?

меня никто не переубедит уже, мне кажется

а ты риман аля статсд используешь, только более широко ?

@freeseacher да можно и здесь. Мой пойнт в том, что чистые опсы и чистые девы уходят в прошлое постепенно, кроме специфичных мест

Админу нужно понимать, что работает в его системе, и часто писать код для автоматизации, склейки и т.д.

ERROR: S client not available

мне тяжело за всю отрасль сказать. но сисдамины ка кбыли так и остались

А деву нужно понимать, на чем работает его код, и иногда возиться в ос

просто со временем начинаешь замечать все больше подходов в стиле девопс. потому что хочешь их замечать

C *чистыми опсами*, как и с *чистыми девами* работать очень неприятно, потому что они арбитрарно заявляют границы своей ответственности там, где им нравится, блядь.

и я знаю далеко не одного чистого опса

который раотает себе в интерпрайзе и его еще на 10-15 лет хватит

Я вот в .m когда работал, мне было как-то вообще не впадлу залезть в код перлового приложения и выяснить, почему оно не работает

на это способны просто не все

многие просто не понимают как там что работает

и как писать код

Не «потому что что-то обновилось, почините», а потому что обновился именно вот этот модуль, и искать надо там

А нашим девам было не впадлу в ось залезть, наоборот

Даже патчи писал, бгг

с другой стороны програмист который не понимает права на симлинк - вполне програмист.

Он-то программист, но полезность его в сфере математики

Потому что ты сам себя очень плотно ограничиваешь, когда отказываешься понимать, для какой оси ты пишешь код.

поелзность его в том что он может написать операционную систему в которой может реализовать такую абстракцию как симлинк и права на него.

просто в этом направлении он не думал.

Ось и приложения связаны, это не два разных уровня каких-то

Нужно понимать, для чего ты код пишешь

И так же нужно понимать, хотя бы примерно, что чужой код, который ты гоняешь, делает.

В итоге unholy union в виде devops

блять насколько же чудовищно сложным делается современный мир.

после развлечений с волтом я понял что теперь предстоит большой путь.

ибо раньше в конфиги понапишешь логопасов и все.

а теперь получается хрен. надо consul-template, consul они будут ходить куда надо. и писать конфиги

и это только начало.

а ведь этому потом когото еще учит ьи передавать дела

жесткая жесть.

Какой графит? Что на питоне?

На питоне

а ты риман аля статсд используешь, только более широко ?

Не совсем, но с натяжкой можно сказать да. У меня он ещё алертингом работает и кастомные метрики считает

Короче, я тут попробовал графит для стореджа вместо influxdb

Рекомендую еще посмотреть в сторону https://github.com/lomik/go-carbon и https://github.com/graphite-ng/carbon-relay-ng