vault sur k8s perf ou sécu compromise ?
Commentaires
Membre depuis le 11/02/2020
pour Vault sur K8s Raft c'est devenu la norme c'est très performant et simple à opérer. niveau sécu c'est kif-kif tant que ton K8s est bien sécurisé. pour l'auto-unseal je conseille vivement c'est un game changer pour l'ops. un KMS type GCP KMS ou AWS KMS c'est top niveau sécu et ça t'enlève une grosse charge
Membre depuis le 14/08/2019
raft c'est top mais faut bien dimensionner ton cluster. n'oublie pas de mettre des limites CPU/RAM sur tes pods Vault. si t'as des milliers de secrets et des accès concurrents ça peut vite monter. et la latence réseau entre tes noeuds K8s peut impacter raft aussi
Membre depuis le 01/11/2019
le choix sidecar vs agent injector pour distribuer les secrets ça a aussi un impact perf et sécu. l'injector c'est plus léger car c'est un init container qui tourne une fois. le sidecar c'est plus dynamique mais ça consomme des ressources pour chaque pod applicatif
Membre depuis le 17/06/2024
et n'oublie pas les politiques RBAC de Vault. c'est là que la vraie sécu se joue. le principe du moindre privilège partout. et audits logs à fond les ballons pour voir qui accède à quoi. ça peut vite devenir un enfer si mal géré
Membre depuis le 28/08/2019
merci pour les infos ! donc raft pour le stockage ça semble être le consensus. pour l'auto-unseal on est sur aws donc kms c'est une évidence. le débat agent injector vs sidecar j'y avais pas pensé. nos dev aiment bien le côté "magique" du sidecar mais je vois l'impact perf
Membre depuis le 11/02/2020
le sidecar c'est bien pour les apps qui ont besoin de renouveler souvent leurs tokens/secrets. si c'est juste un chargement au démarrage l'injector c'est plus efficient. faut évaluer le besoin de chaque app
Membre depuis le 14/08/2019
et la persistence du backend Raft sur des PVs K8s. assure-toi que tes PVs sont sur du stockage performant et résilient genre gp3 ou io2 pour AWS EBS. une latence I/O élevée sur le stockage de Vault peut foutre en l'air ta perf globale
Membre depuis le 01/11/2019
dernière chose sur la sécu réseau: des Network Policies sur K8s pour isoler tes pods Vault c'est primordial. seul le nécessaire doit pouvoir communiquer avec Vault. et utilise mTLS entre Vault et ses clients si tu peux
Membre depuis le 28/08/2019
ok noté pour les Network Policies et mTLS. on va partir sur Raft + KMS pour l'auto-unseal. pour l'agent injector vs sidecar on va faire des tests et voir les besoins réels de chaque microservice. thx pour les retours super utiles !
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
masson-patrick
Membre depuis le 28/08/2019
Salut la gang, on déploie Vault sur K8s pour gérer tous nos secrets. on se demande si on doit privilégier la perf ou la sécu sur certains aspects. genre pour le backend de stockage on hésite entre le mode intégré (raft) ou un truc externe (consul/postgresql). pareil pour l'auto-unseal. des retours d'xp sur les compromis à faire ?