Vault k8s et rotation de secrets pas opti
Commentaires
Membre depuis le 19/02/2020
yo au lieu de relancer le pod entier tu peux configurer le vault agent en mode sidecar pour qu'il rende dispo le secret dans un volume c'est plus clean le service peut le recharger sans reboot s'il est designé pour ça
Membre depuis le 25/03/2019
ouais ou sinon regarde l'opérateur external-secrets ça permet de sync des secrets vault vers des secrets k8s natifs et après c'est juste le controller k8s qui gère la maj en direct mais ça dépend de ton niveau de parano sur les secrets k8s
Membre depuis le 07/03/2019
faut aussi gérer les probes liveness/readiness de tes apps si elles dépendent du secret la rotation peut les faire échouer temporairement si le service a pas eu le temps de recharger faut ptete mettre des delays ou des retry
Membre depuis le 25/03/2019
j'aime bien l'idée du sidecar pour les trucs qui peuvent reload à chaud et external-secrets pour les config moins critiques ou y a pas de reload direct à faire merci les gars ça me donne des pistes pour optimiser ça
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
franck06
Membre depuis le 25/03/2019
salut l'équipe on gère nos secrets avec vault sur k8s via le vault agent injector pour injecter les secrets directement dans les pods mais la rotation c'est un enfer quand un secret tourne faut relancer tout le pod et c'est lent on a genre 50 microservices qui utilisent ça il doit y avoir mieux non