Секреты для сервисов: Vault in Kubernetes Безопасность, DevSecOps
При разработке и эксплуатации сервисов у нас остро стояла проблема хранения и доставки актуальных секретов к сервисам.
За многолетний опыт компании мы использовали множество инструментов. Большинство из них не подходят для использования в Kubernetes. Мы выбрали Vault и Sidecar Injector, и я расскажу, почему. Как мы решали возникающие трудности (unseal, ENV, cronjobs). Что мы храним в коде (spoiler: все).
Сейчас секреты могут быть доставлены во множество сервисов в различные нэймспэйсы.
В результате мы получили надежное, отказоустойчивое и масштабируемое решение.
Исходный код сервисов полностью избавлен от каких-либо секретов.
Данное решение можно легко развернуть в своем Kubernetes-кластере уже сейчас.
В IT с 2008 года.
Прошел: pet-проект, поддержка легаси, рекламные сети, внутренние сервисы, микросервисная платформа, микросервисная платформа v2.0.
Интересы в работе: Kubernetes, CI/CD, Backend, Frontend, etc.