apelsin1998 Sep 2 at 11:46

Храним секреты правильно: от .env файлов к Vault и Doppler. Практическое руководство

Easy

5 min

3.3K

SafariCodeIgniter * Processing * Python *

From sandbox

-1

Comments 7

dmitriylyalyuev Sep 2 at 12:03

Я верно понимаю, что предлагается из энва убрать секреты в волт, чтоб потом через энв передать секреты для доступа к этому волту? Или я не верно что-то понял?

kenomimi Sep 2 at 13:28

Частично так. Либо nomad, который почти всегда живет в паре с vault, мапит секреты в файл/переменную среды внутри запущеного контейнера. Происходит вынос секретов из репы и ведение аудита по доступу к ним, это основная задача всех подобных систем. Именно безопасности оно не добавляет ни капли, но в полностью автоматизированной среде даже теоретически невозможно безопасно хранить секреты.

dmitriylyalyuev Sep 2 at 13:32

Тогда о чем статья, простите? Как правильно заметили ниже - вы не убрали проблему хранения секретов, но добавили проблему потери доступа к секретам. В чем смысл?

Armann Sep 2 at 14:44

Смысл в основном в управляемости.

Например в проекте десятки секретов, которые нужно разделять между разными сервисами, но каждому отдельному сервису давать только к необходимым. Плюс аудит и тому подобное.

Env файлами и руками такое может быть затруднительно

Rsa97 Sep 2 at 13:22

Vault выдаёт приложению Role ID и Secret ID

И получаем проблему хранения этих секретов. Только теперь мы добавили ещё одну глобальную зависимость и при падении Vault мы теряем доступ к остальным сервисам.

Areso Sep 2 at 19:04

Добро пожаловать в удивительный мир DevOps.

ashkraba Sep 8 at 06:55

Не нужно чтобы приложение ходило в вольт. В вольт идёт ci во время деплоя и подкладывать секреты. Если вольт упал то вы не сможете задеплоить новую версию, но приложение продолжает работать. Секретов у вас в итоге в гите нет и посмотреть их можно только на прод сервере или в вольте.

И не нужно тут про удивительный мир DevOps - все с ним нормально)))