Управление секретами при помощи HashiCorp Vault

[buldo]

В итоге непонятно — это история успеха или поедание кактуса? Или всё таки лучшее решение, которое можно найти, но всё же не идеальное?

[neenik]

Лучшее решение, но альтернатив нет.

[Albibek]

Это на данный момент лучшее решение, которое можно найти, но вследствие своей универсальности оно достаточно низкоуровневое. Поэтому приходится поесть немного кактуса, пока мы адаптируем его под те workflow, которые не соответствуют предусмотренным Hacshicorp-ом.

[jery_jary]

Вопрос: у вас Vault открыт в мир, или это всё в частной сети (возможно VPN какой)? Если в мир — расскажите подробней, как вы защищали его.

[Albibek]

В мир не открыт. Никаких специальных супер-средств не использовали: обязательный TLS, логи аудита в SIEM. Если бы я делал в мир, то защищал бы как любое другое веб-приложение: WAF, CORS и т.п. Здесь скорее важно не забыть защитить смежные системы вроде Consul, и те, которые отвечают за доступ: LDAP, Kubernetes.

[TITnet]

обязательный TLS

Зачем во внутренней сети TLS?

[misterkramer]

А как у вас реализована отказоустойчивость consul?

[Albibek]

Consul из коробки отказоустойчивый — там Raft на 3+ ноды. Просто подняли 4 ноды по гайду и настроили ACL.

[misterkramer]

ага, спасибо. т.е — у вас 4 ноды и кворум из 3х?
тут я виноват — не уточнил в каком смысле я спросил про отказоустойчивость — в рамках скольки ДЦ развернут консул? вот, что интересно было бы узнать

[Albibek]

Да, 4 из 3х, но Raft работает даже если останется 2. Развёрнуто пока что в одном ДЦ, Cross-ДЦ не делали.

[dimcha]

их не видно, даже если сделать kubectl exec в контейнер, потому что в этом случае запускается другой процесс, параллельный PID1.

kubectl exec echoserver-55587b4c46-8vv7p -n echoserver -- cat /proc/1/environ