С одной стороны да, с другой ничего не мешает это делать не рассказывая об этом другим. Мы стараемся решить это помощью различных подходов, например ограничения доступа к сервисам на уровне сети.
Продвинутый уровень — хранить секреты в зашифрованном виде в Git. Такой подход обеспечивает безопасность, однако процесс управления секретами достаточно медленный: нужна сборка, тестирование, перезапуск приложений. Как было в нашем случае.
Мы недавно столкнулись с вопросом как управлять секретами и нужно ли нам переходить из AWS Secret Manager куда-то. Один из вариантов был SOPS, так как мы используем FluxCD для управления Kubernetes пространством. Самые главные плюсы:
Можно отслеживать историю, видно кто и когда менял секреты, какие секреты менялись и зачем (ссылка на задачи в JIRA в commit messages)
Есть возможность создавать отложенные изменения через merge request, когда нужно внести изменения в секретах вместе с другими изменениями
Возможность быстро сделать rollback если что-то пошло не так
Для предоставления доступа мы используем AWS KMS и через IAM роли выдаём доступ к ключам шифрования
Это условно бесплатно, так как используется Git для хранения, но можно использовать платные сервисы для предоставления ключей шифрования. Но это всё ещё дешевле Hashicorp :)
Из минусов:
Нужно иметь анализаторы в хранилище с кодом, так как отправить незашифрованный секрет не составляет труда и это легко сделать по невнимательности или неопытности
Высокий порог вхождения, нужно понимать как менять секреты. Но в VS Code есть различные дополнения, которые облегчают работу.
Grafana OnCall это всё таки аналог не Alert Manager, а PagerDuty, opsGenie и прочее, то есть когда у вас есть команды, дежурства, расписания, эсколации, постмортемы и так далее.
Я бы ещё добавил к этому дресс код. В ИТ конторе ты можешь хоть в трусах ходить, всем плевать, главное твои умения и навыки. Но не в ИТ не дай Ктулху ты придёшь в джинсах на работу! Ты что на дискотеку пришёл? И плевать что ты будешь лазить под столом и чинить принтер — главное ты должен одеться в брюки и белоснежную рубашку
Я у себя сделал связку login + ssh-key из LDAP. Человек может сам себе поменять ключ в личном кабинете. Очень удобно. Ключи хранятся в одном месте, доступ до серверов сделан на основе групп
С одной стороны да, с другой ничего не мешает это делать не рассказывая об этом другим. Мы стараемся решить это помощью различных подходов, например ограничения доступа к сервисам на уровне сети.
Продвинутый уровень — хранить секреты в зашифрованном виде в Git. Такой подход обеспечивает безопасность, однако процесс управления секретами достаточно медленный: нужна сборка, тестирование, перезапуск приложений. Как было в нашем случае.
Мы недавно столкнулись с вопросом как управлять секретами и нужно ли нам переходить из AWS Secret Manager куда-то. Один из вариантов был SOPS, так как мы используем FluxCD для управления Kubernetes пространством. Самые главные плюсы:
Можно отслеживать историю, видно кто и когда менял секреты, какие секреты менялись и зачем (ссылка на задачи в JIRA в commit messages)
Есть возможность создавать отложенные изменения через merge request, когда нужно внести изменения в секретах вместе с другими изменениями
Возможность быстро сделать rollback если что-то пошло не так
Для предоставления доступа мы используем AWS KMS и через IAM роли выдаём доступ к ключам шифрования
Это условно бесплатно, так как используется Git для хранения, но можно использовать платные сервисы для предоставления ключей шифрования. Но это всё ещё дешевле Hashicorp :)
Из минусов:
Нужно иметь анализаторы в хранилище с кодом, так как отправить незашифрованный секрет не составляет труда и это легко сделать по невнимательности или неопытности
Высокий порог вхождения, нужно понимать как менять секреты. Но в VS Code есть различные дополнения, которые облегчают работу.
Лучше же таких ситуаций избегать, использовать например kaniko https://docs.gitlab.com/ee/ci/docker/using_docker_build.html#docker-alternatives
Grafana OnCall это всё таки аналог не Alert Manager, а PagerDuty, opsGenie и прочее, то есть когда у вас есть команды, дежурства, расписания, эсколации, постмортемы и так далее.
А как же Chocolatey?
Будут ли ещё лабораторные работы?
Я бы ещё добавил к этому дресс код. В ИТ конторе ты можешь хоть в трусах ходить, всем плевать, главное твои умения и навыки. Но не в ИТ не дай Ктулху ты придёшь в джинсах на работу! Ты что на дискотеку пришёл? И плевать что ты будешь лазить под столом и чинить принтер — главное ты должен одеться в брюки и белоснежную рубашку