Sziasztok,
uj temat nyitnek, mivel a Kubernetes Podba valo Vault secretek beolvasasat lefujta (eddig) a sec team.
Igy uj modokat keresek.
Meg tudna nekem valaki mondani, hogy az
https://www.twilio.com/blog/manage-application-secrets-with-php-using-v…
oldalon kozzetett leirast hogy tudnam atirni, hogy ne a /secret-bol olvasson, hanem az altalam letrehozott
/MYPROJECT k/v secret engine-ben letrehozott key/value vault parokbol?
Valahogy nem tudok tovabblepni mindjart az elejen.
Van ezzel valakinek tapasztalata?
Koszonom elore az otleteket.
Ardi
- 241 megtekintés
Hozzászólások
tehat azt mondod, hogy ahelyett hogy mondjuk a php app-od a pod-ba env-kent beinjectalt secreteket olvasna es az appot nem kellene atirni a security team velemenye, hogy implementalj benne egy secret olvaso izet es meg a secretet + uzemeltess mellette egy vault-ot es manageld azt is az out-of-the-box megoldas helyett, amit ugy altalaban veve a k8s-el foglalkozo emberiseg 95%-a ugy hasznal ahogy van. Aham.
Kerd meg oket hogy ok implementaljak es uzemeltessek az uj komposenseket :D
Amugy mi az isten bajuk van a secrettel (marha nem a base64 default ckodolast hasznaljuk)
- A hozzászóláshoz be kell jelentkezni
Haat,
hamarabb tanitom meg a majmot olvasni, mint hogy rabeszeljem oket arra, hogy tegyenek fel egy vault-injectort.
Igy meeg mindig keresek ...:-(
Ardi
- A hozzászóláshoz be kell jelentkezni
Nos, megoldottam egyszerubben python script hivasaval php-bol.
most mar csak az a kerdes, milyen modon rejtsem el a parametereket (VAULT_ADDR, VAULT_CACERT, VAULT_TOKEN, stb)...
Ardi
- A hozzászóláshoz be kell jelentkezni
Főleg azért, mert így a te felelősséged lesz a hibakezelés is a pod indulásakor.
- A hozzászóláshoz be kell jelentkezni