Как стать автором
Обновить

Комментарии 10

отличная статья! возьму на заметку!)

Привет! Интересная статья! Круто

Прекрасно! Меняю угли и иду делать!

Хорошая и рабочая статья’

Интересный подход к использованию gcpckms и gsc для HA

То есть безопасность всех секретов у вас заложена в ключ сервис аккаунта зашифрованный sops..? А расшифровывается он как?

их утрата является фатальной и фактически отрезает доступ к управлению кластером

root токен не должен использоваться после первоначальной настройки аутентификации и административных прав, после этого должен быть отозван, а новый root токен должен быть выведен в зашифрованном виде (под расшифровку оффлайн ключом хранящимся в сейфе)

рекавери ключи изначально должны быть выведены в зашифрованном виде, доступны для расшифровки только хранителями разделенного секрета, и понадобятся они в случае gkms+gcs ровно никогда (ну либо root токен можно заранее не генерировать, его можно сделать новый при наличии кворума рекавери ключей)

Вы все равно в Гугле сидите и используете management сервисы типа redis, postgres, зачем вам vault? Возьмите google secret manager + external secret operator. Как по мне, вряд ли стоимость секретов в облаке превысит стоимость затрачиваемых человеческих и железных ресурсов вашем кластере.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий