Да секреты уже не хранятся в etcd, а в Vault, тем самым защищая от утечки базу etcd, но секреты ведь также доступны на просмотр через интерфейс кубернетес. В чем смысл, если они также доступны на просмотр через интерфейс кубера?
То школьники ночью разбили стекло в алкомагазине, то наркоман выламывает кому-то квартирную дверь топором, то жильцы дома устроили массовую драку из-за занятого кем-то "чьего-то" парковочного места во дворе. В общем, нормальная жизнь российского провинциального города.
при использовании команды kubectl patch для применения аннотаций к существующему объекту Pod, они НЕ были перехвачены службой webhook vault-k8s и НЕ создавались правильные контейнеры init и sidecar вместе с запрошенными секретами .
This block must be present in the master-config.yml in the section admissionConfig.pluginConfig. After restarting the apiserver, the webhook started to kick in. But the sidecar was still not injected, because of some permission issues. Granting the consumer app's service account cluster-admin permissions or access to the privileged SCC (equivalent of PSP) helped, but then also introduces other security issues.
IDWarlock Почему у вас при выполнении запроса: http_requests_total{host=«10.2.0.4», path="/api"}[10m]
выводятся еще хосты 10.2.0.5, 10.2.0.2 помимо 10.2.0.4?
хорошая статья, а что же делать если ты выбрал новую компанию, и спустя месяц понял что выбор был ошибочен, и назад дороги нет или с поникшей головой проситься обратно, и вперёд уже не охота идти в текущей компании.
Заметил ещё такую тенденцию, что из регионов в Москву стали уезжать не самые лучшие, а самые слабые, притом на хорошие должности. Неужели такая нехватка кадров в Москве?
Возобновите продажу мерча)
Полностью с вами согласен, я как раз и хотел, чтобы в статье этот момент "подсветили", иначе у людей возникает непонимание работы Vault с Kubernetes.
Да секреты уже не хранятся в etcd, а в Vault, тем самым защищая от утечки базу etcd, но секреты ведь также доступны на просмотр через интерфейс кубернетес. В чем смысл, если они также доступны на просмотр через интерфейс кубера?
Здравствуй, Уфа?)
при использовании команды kubectl patch для применения аннотаций к существующему объекту Pod, они НЕ были перехвачены службой webhook vault-k8s и НЕ создавались правильные контейнеры init и sidecar вместе с запрошенными секретами .
Нашел похожий issue https://github.com/hashicorp/vault-k8s/issues/32 , где:
I found the issue: as I'm running on OpenShift 3.11 (Kubernetes 1.11), the API config had to be changed so it supports admission controllers.
This block must be present in the master-config.yml in the section
admissionConfig.pluginConfig. After restarting the apiserver, the webhook started to kick in. But the sidecar was still not injected, because of some permission issues. Granting the consumer app's service account cluster-admin permissions or access to the privileged SCC (equivalent of PSP) helped, but then also introduces other security issues.что для нас было было неприемлемо.
Возможно есть другие варианты.
спасибо, на openshift 3 есть некоторые трудности с безопасностью если включить по данному способу.
выводятся еще хосты 10.2.0.5, 10.2.0.2 помимо 10.2.0.4?
а был ли опыт на установки на openshift 3 ?