How to become an author
Search
Write a publication
Pull to refresh

Comments 10

В итоге непонятно — это история успеха или поедание кактуса? Или всё таки лучшее решение, которое можно найти, но всё же не идеальное?

This comment wasn’t rated yet0
Лучшее решение, но альтернатив нет.
Total votes 1: ↑1 and ↓0+1
Это на данный момент лучшее решение, которое можно найти, но вследствие своей универсальности оно достаточно низкоуровневое. Поэтому приходится поесть немного кактуса, пока мы адаптируем его под те workflow, которые не соответствуют предусмотренным Hacshicorp-ом.
Total votes 1: ↑1 and ↓0+1
Вопрос: у вас Vault открыт в мир, или это всё в частной сети (возможно VPN какой)? Если в мир — расскажите подробней, как вы защищали его.
This comment wasn’t rated yet0
В мир не открыт. Никаких специальных супер-средств не использовали: обязательный TLS, логи аудита в SIEM. Если бы я делал в мир, то защищал бы как любое другое веб-приложение: WAF, CORS и т.п. Здесь скорее важно не забыть защитить смежные системы вроде Consul, и те, которые отвечают за доступ: LDAP, Kubernetes.
Total votes 1: ↑1 and ↓0+1
А как у вас реализована отказоустойчивость consul?
This comment wasn’t rated yet0
Consul из коробки отказоустойчивый — там Raft на 3+ ноды. Просто подняли 4 ноды по гайду и настроили ACL.
Total votes 1: ↑1 and ↓0+1
ага, спасибо. т.е — у вас 4 ноды и кворум из 3х?
тут я виноват — не уточнил в каком смысле я спросил про отказоустойчивость — в рамках скольки ДЦ развернут консул? вот, что интересно было бы узнать
This comment wasn’t rated yet0
Да, 4 из 3х, но Raft работает даже если останется 2. Развёрнуто пока что в одном ДЦ, Cross-ДЦ не делали.
Total votes 1: ↑1 and ↓0+1

их не видно, даже если сделать kubectl exec в контейнер, потому что в этом случае запускается другой процесс, параллельный PID1.

kubectl exec echoserver-55587b4c46-8vv7p -n echoserver -- cat /proc/1/environ

This comment wasn’t rated yet0
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr