Всем привет! Хотел бы попросить поделиться советом, или натолкнуть на мысли,

в какую сторону копать.
На текущий момент креды для БД у нас хранятся в .env файле.

При "поднятии" сервиса, в docker-compose.yml указываем параметр env_file, через который и передаем креды.

Решили исключить хранение конфиденциальной информации в файликах, смотрели в сторону docker secrets, но они не позволяют изменять секрет без остановки сервиса, и нет гибкого ACL для редактирования кред (например у разраба должна быть возможность изменить только определенный параметр, а не апдейнуть пароль от БД)

Теперь смотрю в сторону Vault.

Как docker при запуске контейнера считывает секреты из vault?

Пока что вижу решение с переменными Gitlab CI, c JSON Web Token (JWT)

Условно, хочется просто в docker-compose.yml передать расположение секрета в Vault, как это делается сейчас с помощью env_file

4 ответов

24 просмотра
Денис- Автор вопроса

Понял, спасибо ещё раз

В идеале приложуха сама идёт в волт и читает все разрешенные секреты В противном случае, нужно коствлить подобие "инжектора". Но как проще сделать в компосте - вопрос

Денис- Автор вопроса
Денис
Понял, спасибо ещё раз

Ребята, хотел уточнить у вас ещё насчет Vault Agent. Его использование подразумевает установку агента только на тот хост, где будет меняться секрет? Вот нагуглил кусок конфига: template { source = "/etc/vault/templates/template.ctmpl" destination = "/etc/vault/templates/render.txt" } Могу ли я, поднять контейнер с Vault Agent, и в качестве destination указать другой контейнер, предварительно объединив их в одну сеть? Или же этот подход работает только как sidecar-контейнер внутри одного пода Kubernetes (который мы не используем)?

Похожие вопросы

Обсуждают сегодня

Гайс, вопрос для разносторонее развитых: читаю стрим с юарта, нада выделять с него фреймы с определенной структурой, если ли чо готовое, или долбаться с ринг буффером? нада у...
Vitaly
9
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
длина пакета фиксированная, или меняется?
Okhsunrog
7
Вот еще странный косяк, подскажите как бороться. Я git clone сделал себе всего embassy и примеры там запускаю. Всё хорошо. Но вот решил в cargo.toml зависимости не как в приме...
Lukutin R2AJP
5
А в каком формате фреймы? Сам формат сейчас придумываешь, или что-то готовое нужно распарсить?
Okhsunrog
5
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Добрый вечер, Пока не совсем понимаю как наладить общение между телеграм ботом и ПО для работы с сим боксом. По самому боту так понял: - Нужен некий баланс, который можно поп...
Magic
6
Всем привет, нужна как никогда, нужна помощь с IO в загрузчике. Пишу в code16 после установки сегментных регистров, пишу вывод символа. Пробовал 2 варианта: # 1 mov $0x0E, %a...
Shadow Akira
14
Раз начали говорить про embassy, то присоединюсь со своими парой вопросов. 1) Есть ли сопоставимые аналоги для асинхронного кода в emdebbed? 2) Можно ли внутри задач embassy ...
NI_isx
6
сделал сайт, прикрутил в боте сайт, и виджет логина. как автоматически логинить пользователя в аккаунт(телеграм), при входе с бота?
Александра Чернивецкая
5
Карта сайта