shishaops Aug 29 2024 at 14:42

Hashicorp Vault — gcs + gcpckms

5 min

1.8K

EXANTE corporate blogDevOps * Google Cloud Platform * Kubernetes *

Tutorial

Comments 10

abakarowar Aug 29 2024 at 15:28

отличная статья! возьму на заметку!)

Kaloud Aug 29 2024 at 15:28

Привет! Интересная статья! Круто

smeniugli Aug 29 2024 at 15:36

Прекрасно! Меняю угли и иду делать!

Alexxlow Aug 29 2024 at 16:30

Хорошая и рабочая статья’

IgorekProkuratura Aug 29 2024 at 17:24

Cтатья 10 из 10, автор гений

smotryashii Aug 29 2024 at 17:35

Интересный подход к использованию gcpckms и gsc для HA

eigrad Aug 29 2024 at 22:29

То есть безопасность всех секретов у вас заложена в ключ сервис аккаунта зашифрованный sops..? А расшифровывается он как?

eigrad Aug 29 2024 at 22:45

Смущает что pod'а три а не два, не смотря на то что используется gcs. Но в целом конечно пофиг.

eigrad Aug 29 2024 at 22:56

их утрата является фатальной и фактически отрезает доступ к управлению кластером

root токен не должен использоваться после первоначальной настройки аутентификации и административных прав, после этого должен быть отозван, а новый root токен должен быть выведен в зашифрованном виде (под расшифровку оффлайн ключом хранящимся в сейфе)

рекавери ключи изначально должны быть выведены в зашифрованном виде, доступны для расшифровки только хранителями разделенного секрета, и понадобятся они в случае gkms+gcs ровно никогда (ну либо root токен можно заранее не генерировать, его можно сделать новый при наличии кворума рекавери ключей)

Artarik Aug 31 2024 at 08:52

Вы все равно в Гугле сидите и используете management сервисы типа redis, postgres, зачем вам vault? Возьмите google secret manager + external secret operator. Как по мне, вряд ли стоимость секретов в облаке превысит стоимость затрачиваемых человеческих и железных ресурсов вашем кластере.