172 похожих чатов

Добрый вечер. Хочу поднять весьма холиварный вопрос, но не закидывайте

сразу камнями. Пытаюсь понять best practice в вопросе хранения секретов. Без кубера, номада и прочего. Вот есть просто гитлаб, есть compose, есть приватное docker хранилище и есть CI/CD. Вот что не начнешь читать, везде пишут: .env в репе не храни, .env на проде не храни, variables в gitlab это небезопасно, не используй их. В итоге - как правильнее всего просто добавлять переменные окружения в собираемые контейнеры в CI/CD и отправлять в приватную репу если ничего нельзя?)

11 ответов

22 просмотра

ну, не использовать секреты per se 🙂

Sergey-Zhuravlev Автор вопроса
Petro
ну, не использовать секреты per se 🙂

Ну а как их не использовать если на прод должен прилетать контейнер с переменными окружения где все доступы и к БД и прочему?)) Да и долететь с гита на сервер целевой все это как то должно ведь? То есть как минимум залезть по ssh и дернуть docker-compose pull

не добавлять секреты в image а делать это в runtime через volume или через consul-template

Sergey Zhuravlev
Ну а как их не использовать если на прод должен пр...

зависит от ситуации, но например контейнер может пойти в хранилище, например HAshCorp Vault, аутентифицироваться, скажем, своим SerivceAccount, получить роль и ролью взять креды из волты.

Sergey-Zhuravlev Автор вопроса
AlexD
не добавлять секреты в image а делать это в runtim...

то есть вместо закладывания в image переменных окружения с секретами мы пробрасываем volume Значит храним секреты на хосте?

Sergey Zhuravlev
то есть вместо закладывания в image переменных окр...

Если у вас масштаб docker-compose то на хосте. Но по хорошему в Vault

по http доставай из внешего сервиса

Sergey-Zhuravlev Автор вопроса
Roman Timofeev
по http доставай из внешего сервиса

Ну это как я и написал про passbolt Только по https наверно все таки))

Можно просто файл с паролями положить рядом в тот же git

Похожие вопросы

Обсуждают сегодня

Мужики и девушки, привет) в Вelphi xe7 в настройках во вкладке "Editor Options" далее " Color" есть список: "Elements", открыв который мы можем настраивать отображение разных...
Kraszx
14
Добрый вечер. Есть вопрос, а может и предложение. Был у меня диалог в другой группе о делфи и я задался вопросом: "А нельзя ли в делфи цвет //коментария и {комментария} сде...
Kraszx
24
Всем привет! Подскажи, пожалуйста, как передать в TComboBox сразу значение и id записи. На Delphi я делал так: ComboBox1.Items.AddObject('Какое-то значение', Pointer(id запис...
Евгений
13
А вот это что за конструкция? Вернее, она тут нафига?
Serjone
10
Мдя, прикол, боевая сборка запускается (именно под отладчиком) после F9 примерно полторы минуты (97 секунд если быть точным). Начал копать - проблема детектится сразу - зависа...
Александр (Rouse_) Багель
38
Мужики. привет) в Вelphi xe7 в настройках во вкладке "Editor Options" далее " Color" есть список: "Elements", открыв который мы можем настраивать отображение разных элементов...
Kraszx
2
Здравствуйте, вопрос по структурам данных. Были у вас случаи, когда пришлось писать деревья или двунаправленные списки?
/ /
50
Товарищи, кто работа с iphelper? Или может я в самой логике ошибки фигачу, не пойму.... var ifTable : PMIB_IFTABLE; size, corSize: DWORD; Buffer ...
Warfarellen
4
я так понимаю, я так подозреваю, что создание такого плагина для человека, кто умеет писать плагины для делфи потребует минут 5-10 времени. но это мое подозрение. хотелось бы ...
Kraszx
7
Всем привет! Кто пользуется DevExpress, подскажите пожалуйста, реализован ли в TcxGrid в новых версиях поиск по датам как в Экселе (ну т.е. не просто список чекбоксов со значе...
A Z
4
Карта сайта