LINUX.ORG.RU
ФорумAdmin

А как вы решили вопрос с auto-unseal в hacorp vault на k8s ?

 , ,


0

1

у меня, после рестарта, vault хочет компоненты ключа.
как этот процесс не делать вручную ?
ну и конечно, отпадает вариант с написанием скриптов и прочих сторонних костылей.
Спасибо.

★★★★★
Ответ на: комментарий от tiandrey

Т.е. ты предлагаешь держать в штате 3 дежурных, которые должны в случае рестарта кластера ввести эти три ключа ?

dada ★★★★★
() автор топика
Ответ на: комментарий от dada

Yep.

Если у тебя ключ шифрования в открытом виде хранится, то достаточно его скопировать, и все твои секреты больше не секреты. Поэтому волт этот ключ никуда не записывает, а держит в памяти. И чтобы он попал в память, нужно провести процедуру растюленивания.

tiandrey ★★★★★
()
Ответ на: комментарий от tiandrey

я придумал мега фичу =)
храним эти компоненты в ansible vault и при рестарте ansible-ом растюлениваем.

dada ★★★★★
() автор топика
Ответ на: комментарий от dada

А что произойдёт с тем волтом в случае перезапуска? Олсо, зачем держать волт кубернетисе, если он у тебя регулярно перезапускается?

tiandrey ★★★★★
()
Ответ на: комментарий от tiandrey

Волт в кубере нужен. Нужен отказоустойчивый волт.
Для этого нужен кластер. При тестах выяснилось что кластер кластером, а новая нода не поднимается.

dada ★★★★★
() автор топика
29 марта 2021 г.
Ответ на: комментарий от tiandrey

достаточно его скопировать, и все твои секреты больше не секреты

тут еще такой момент, ключ для ансила может делать только ансил
т.е. даже если ты растюленил твои секреты все еще секреты.
p.s. да, я быстрый =)

dada ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.