itmo Jan 30 at 17:14

От Kubernetes в мечтах к Kubernetes в проде. Часть 4. Хранилище секретов ― HCP Vault

15 min

6.1K

ITMO corporate blogSystem administration*Server Administration*DevOps*Kubernetes*

Comments 7

Естественно, в БД все хранится в зашифрованном виде. При первой инициализации Vault генерирует пять мастер-ключей ― с их помощью и шифруются данные хранилища.

Можно не 5

https://developer.hashicorp.com/vault/tutorials/operations/rekeying-and-rotating

В этой статье мы постарались описать все, что нужно для полноценного внедрения хранилища секретов HashiCorp Vault.

Да нифига. Ни слова про AD

Развертывание Hashicorp Vault на стенде с Microsoft Active Directory (LDAP)
https://dzen.ru/a/YvFyTO8enGJ9Y0NT

Но все равно плюсану

rybkin_me Jan 31 at 10:51

Можно не 5

Все верно, через пару предложений об этом упоминаем:

Общее количество ключей и их доля, необходимая для разблокировки, настраиваются. Можно сделать хоть 100 ключей с необходимостью вводить каждый раз 50.

Ни слова про AD

Этот цикл статей описывает выстраивание k8s-инфраструктуры, поэтому мы рассматривали vault в первую очередь с точки зрения интеграции с k8s. Безусловно, его можно еще много к чему подключить, но это выходит за тематические рамки этой статьи)

За плюсик спасибо!

lamo4ok Jan 30 at 23:34

Предположим, разработчик, который не должен иметь доступ к переменным, хранящим логин и пароль к БД, зайдет в конфиг GitLab CI и настроит вывод значений всех переменных.

GitLab давно не выводит секреты, если я верно понял о чем речь в статье.

Sigest Jan 31 at 07:34

Переменную окружения можно пометить так, чтобы она маскировалась звездочками при выводе, а можно наоборот открыть и тогда в CI какая-нибудь команда echo $… выведет ее в логах в открытом виде

rybkin_me Jan 31 at 10:57

Да, их и правда можно маскировать, но это накладывает ограничения на содержимое переменной. К тому же, можно забыть поставить эту галочку при наборе второго десятка переменных))

В общем, это не звучит как серьезный механизм обеспечения безопасности. Хотя под какие-то задачи и ее хватит)

Sigest Jan 31 at 11:19

Насчет ограничений - вот одна из бесячих вещей в Gitlab. Не мог понять объективных причин почему не любую строку можно маскировать. Сталкивался с этим, мне давали креды от внешних вендоров, я их заносил их в переменные окружения, но почему-то поставить галочку для маскирования не мог. И креды перегенерировать не мог. Помню , лепил какие-то костыли для этого

И согласен, что механизм безопасности так себе.

Numen_Divinum Feb 5 at 18:35

Со стороны кластера есть два метода работы с Vault – Vault agent (sidecar-контейнер, который добавляется в каждый под) и secrets store CSI driver (daemonset, устанавливающийся в кластер).

Уже три - появился Vault Secrets Operator