S1M Mar 25 2022 at 16:30

Прячем секреты в репозитории с помощью helm-secrets, sops, vault и envsubst

6 min

18K

МТС corporate blogDevOps*

+16

Comments 16

barkalov Mar 25 2022 at 18:20

Все хорошо, но теперь нужна инфраструктура для хранения и деплоя ключей для секретов.

S1M Mar 25 2022 at 18:31

В случае helm secrets и sops все хранится в репе и ничего дополнительно не нужно. И потом можно разворачивать инфраструктурные решения и перезжать туда.

lokkersp Mar 25 2022 at 20:37

вас тут немного обманули, дело в том, что sops поддерживает и KMS(AWS,GCP)-ключи, Vault.

S1M Mar 26 2022 at 04:51

По коммитам vault завезли "16 Jul 2020" я честно говоря пропустил этот момент, т.к. инструмент начал использовать гораздо раньше. KMS опять же не целевая архитектура для корпоратов: я долгое время работал в банке и внешние системы не рассматриваю. Спасибо, что указали на неточность, я в документации по sops вычитал интересную вещь: он может запушить секреты из файла в vault: sops publish $file

lokkersp Mar 26 2022 at 11:06

для кого как, мы например sops используем совместно с терраформом, и не таскать ключи за собой это прям хорошо.

amarao Mar 25 2022 at 21:06

sops полностью автономный, и пока что, самый админолюбивый из всего, что я видел для работы с секретами.

Во-первых он в гите, т.е. секреты соответствуют версии приложения.

Во-вторых диффы можно смотреть без содрогания.

В третьих, даже если нет diff view, то даже в зашифрованном виде диффы можно смотреть без содрогания.

pshhpshh Mar 26 2022 at 00:33

Как же хорошо было жить на азуре, где все блин на порядки проще...

Сейчас перешел на проект с AWS и это ужас - хелмы, датадоги (хорошая штука, конечно), аппвееры, куча еще какой-то фрагментированной лабуды.

Признаюсь: о чем статья и зачем все это нужно, если есть Azure KeyValult - не понял.

S1M Mar 26 2022 at 04:43

Например, вы сидите в любой крупной корпоративной конторе и вам просто запрещено выносить что-либо за пределы контролируемой зоны.

dolfinus Mar 26 2022 at 01:51

Также стоит включить на уровне настроек репозитория или push хуков проверку на то, что в репозиторий не залили секрет в открытом виде. Например, с помощью https://github.com/Yelp/detect-secrets

zartdinov Mar 26 2022 at 14:13

Вроде всегда получается не хранить ничего в репозитории, просто везде использую переменные окружения

evgajukov Mar 29 2022 at 16:11

А зачем вообще хранить секретные данные в репозитории? Мы в репе храним только примеры настроечных файлов, ни никогда не храним реальные настройки: у каждого разработчика они могут быть свои, плюс свои у тестовых сред и боевого сервера.

S1M Mar 29 2022 at 17:15

А где вы их храните и как они попадают в нужную среду ?

evgajukov Mar 29 2022 at 21:50

Один раз в нужную среду рачками загружаем и настраиваем и больше не трагаем

S1M Mar 30 2022 at 08:31

Вижу несколько проблем:

1) Как организовать версионирование секрета и откат/накат

2) Всё-таки где-то должны храниться исходные данные, которые вы помещаете в нужную среду

В случае если мы какие-то сторонние решения используем, то возникает вопрос их высокой доступности и кто их обслуживает. В случае хранения в репе обеспечение доступности сервиса лежит не нас.

demon_blr Apr 3 2022 at 21:04

Читал статью и сравнивал с Sealed secrets, который использую я. Репа: https://github.com/bitnami-labs/sealed-secrets

В рамках куба не понятно почему вы городите огород)

В мире вне куба sops интересно, в копилку

S1M Apr 4 2022 at 05:16

Даже в кубе кто-то эти CRD должен развернуть и настроить, если нет девопса на проекте то приётся кого-то просить с уважением и ждать. Пробежался по решению внешне выглядит как оператор vault и по мне лучше его и внедрить т.к. он более популярен. Но за решение спасибо, почитаю еще раз внимательнее