Опасные команды: один раз в коде на ft курсор поменял тактику создания дисков для вм с отдельных волумов на встроенные в компьют, чем собственно грохнул и данные и сами вмки. Благо я такие вещи тестирую на пустом отдельном контуре.
Да почти не актуально. Там свое есть, правда сразу кластером, а не отдельной базой. А что бы отдельно и манифестами - я свое пилил - https://github.com/vasyakrg/pgdump-s3
конкретно в этом софте я бы иаку предпочел бы апиху. под иак скорее оператора придется писать, а их как бы уже есть на рынке и поддерживаемых целыми командами.
а вот апиху сюда бы можно было, да. конфигурить действительно есть что, когда баз не 2-3. тем более, что под капотом, судя по коду, вполне себе backend <> frontend с контроллерами и методами.
Все хорошо, следил за руками, но так и не понял: вроде есть ci\cd, кластера и все на прод катается. От куда взялся докер-композ, который пришлось трансформить через kompose ? Почему просто не взять готовые хельм-чарты с прода ?
Если честно, ждал какой-то развёрнутый частный кейс про переезд, возможно с цифрами и примерами. Возможно, со сменой технологий и/или процессов в компании.
Более того, оно будет висеть на всех устройствах с этим акком. И даже если его удалять с галкой "удалить и у телеграмм" на одном из них, сообщение остается на других
больше скажу. обратите внимание, как он подкидывает секреты в контейнер.
проваливаясь в его шел мы их не видим через env.
да и в целом, решение у банка выгоднее, особенно, когда у тебя 100500 мелких сущностей, к которым приращиваются инжекторы по весу раза 2-3 больше самих приложений.
это не тип, это хук, работающий в паре с вольтом. он в отличие от родного живого сайдкара мутирует в init-контейнер. да, теряется автообновление (ротация), но она в 90% не нужна прикладу, а ресурсы очень экономятся.
Про вольт: вариантов три. Сайдкары (дорого, если у тебя 100500 микриков, меньше самих сайд каров), из приложений (порой, накладно разработчикам), а есть есть bank-vaults (через вебхуки в моменте запуска пода) - тут еще плюс, что секреты не видно в envs внутри контейнера, если он правильно собран.
Также он позволяет подавать секреты не только в рантайм, ноби в конфигмапы и секреты куба. Это то, что ты хранишь секреты в base64 опять же в репе. Да по итогу они рендерятся в куб в открытом виде, но в куб еще надо попасть, а там уже и шифрование etcd можно например.
Опасные команды: один раз в коде на ft курсор поменял тактику создания дисков для вм с отдельных волумов на встроенные в компьют, чем собственно грохнул и данные и сами вмки. Благо я такие вещи тестирую на пустом отдельном контуре.
Есть како-то сакральный смысл выкладывать одно и тоже три раза под разными заголовками с разницей в две минуты ? 👎
Я вот тут как раз написал утилиту для работы с манифестами https://github.com/vasyakrg/talostpl и последующий сетап на подготовленные хосты
Кстати, с заландой у меня вышло так же - родной бекап там та еще кака.
Да почти не актуально. Там свое есть, правда сразу кластером, а не отдельной базой. А что бы отдельно и манифестами - я свое пилил - https://github.com/vasyakrg/pgdump-s3
конкретно в этом софте я бы иаку предпочел бы апиху. под иак скорее оператора придется писать, а их как бы уже есть на рынке и поддерживаемых целыми командами.
а вот апиху сюда бы можно было, да. конфигурить действительно есть что, когда баз не 2-3. тем более, что под капотом, судя по коду, вполне себе backend <> frontend с контроллерами и методами.
Всегда с удовольствием читаю такие статьи. История однако…
Опечатка:
Все хорошо, следил за руками, но так и не понял: вроде есть ci\cd, кластера и все на прод катается. От куда взялся докер-композ, который пришлось трансформить через kompose ? Почему просто не взять готовые хельм-чарты с прода ?
А вот телепрезенс и в правду хорош.
да, это прям боль.
открыл свой "мне нравится", вижу 100500 треков, а качать надо по одному :(
Если честно, ждал какой-то развёрнутый частный кейс про переезд, возможно с цифрами и примерами. Возможно, со сменой технологий и/или процессов в компании.
Про хард скилы было драйвовее ))
О сколько Вам открытий чудных готовит просветления дух ))
Более того, оно будет висеть на всех устройствах с этим акком. И даже если его удалять с галкой "удалить и у телеграмм" на одном из них, сообщение остается на других
А zenclass не рассматриваете?
Вторую часть, когда я прокидываю секреты напрямую в приложение, я как раз рассматривал в своем видео. Пользуюсь таким подходов уже примерно с год.
Хотели очередной раз о себе напомнить. А на очередной конференции сказать: в том числе, у нас 100500 статей на хабре.
больше скажу. обратите внимание, как он подкидывает секреты в контейнер.
проваливаясь в его шел мы их не видим через env.
да и в целом, решение у банка выгоднее, особенно, когда у тебя 100500 мелких сущностей, к которым приращиваются инжекторы по весу раза 2-3 больше самих приложений.
пользуюсь банком уже пару лет.
Скажу на планерке нашеу МП, что он нам больше не требуется ))
И все таки, интересен момент про тезок. Какую логику используете ?
это не тип, это хук, работающий в паре с вольтом. он в отличие от родного живого сайдкара мутирует в init-контейнер. да, теряется автообновление (ротация), но она в 90% не нужна прикладу, а ресурсы очень экономятся.
почитать тут https://bank-vaults.dev/docs/mutating-webhook/
Про вольт: вариантов три. Сайдкары (дорого, если у тебя 100500 микриков, меньше самих сайд каров), из приложений (порой, накладно разработчикам), а есть есть bank-vaults (через вебхуки в моменте запуска пода) - тут еще плюс, что секреты не видно в envs внутри контейнера, если он правильно собран.
Также он позволяет подавать секреты не только в рантайм, ноби в конфигмапы и секреты куба. Это то, что ты хранишь секреты в base64 опять же в репе. Да по итогу они рендерятся в куб в открытом виде, но в куб еще надо попасть, а там уже и шифрование etcd можно например.