7 commentaires
yo
classique. le
vault writeva créer une nouvelle version du secret. l'ancienne version reste valide pendant un certain temps selon ta config de vault. par défaut vault ne révoque pas les anciens secrets immédiatement sauf si tu le forces. la clé c'est d'utiliser des leases courts pour les bds et de laisser tes applis renouveler leur lease avant expiration
exact
et encore mieux t'utilises les dynamiques secrets de vault pour tes db. comme ça vault provisionne des creds à la volée avec un ttl court. l'app demande des creds vault génère un user/mdp éphémère. l'app le lit et l'utilise. quand le ttl arrive à bout l'app redemande de nouvelles creds. pas de rotation manuelle pas de downtime potentiel
ah les secrets dynamiques j'y avais pas pensé on est sur du kv pour l'instant. ça demande de refaire pas mal de trucs côté applis non ? genre changer la façon dont elles récupèrent les creds au lieu de juste lire un path
un peu oui mais c'est la bonne pratique. avec kv tu gères la rotation toi-même ou t'utilises des clients vault qui refresh. avec les secrets dynamiques c'est natif. sinon si tu restes sur kv tu peux utiliser un agent consul-template ou sidecar qui poll vault et recharge la config de ton app quand le secret change
perso on a un mix. pour les secrets statiques on utilise consul-template qui génère des fichiers de config sur les machines. quand vault change le secret consul-template met à jour le fichier et redémarre le service via un hook. ça prend quelques secondes. pour les trucs critiques on est passé aux secrets dynamiques ou un client vault direct dans l'app
c'est ça. faut voir le niveau de criticité. le redémarrage via consul-template peut être acceptable pour des services moins sensibles. mais si c'est du transactionnel h24 sans interruption possible faut aller sur le client intégré ou dynamique
d'acc merci les gars. je vais regarder les secrets dynamiques ça me paraît plus propre à terme même si c'est plus de boulot au début. pour le kv je vais ptete essayer le consul-template comme solution temporaire pour les rotations. bonne idée le hook de redémarrage. thx
Laisser une réponse
Vous devez être connecté pour poster un message !
salut la team
on doit mettre en place la rotation auto des creds db dans vault mais sans downtime pour nos applis. j'ai le chemin
qui contient le mdp actuel. si je balance un ça va invalider l'ancien mdp direct non ? comment vous gérez ça pour pas que les microservices pètent en prod le temps que tout le monde prenne le nouveau ? j'avoue je sèche un peu sur la strat la