Телеграмм чат группы devsecops

Size: a a a

DevSecOps - русскоговорящее сообщество

2018 December 12

Alex Akulov in DevSecOps - русскоговорящее сообщество

Я тут спрашивал цены на Энтерпрайз Волт, так вот если кому интересно

Vault Pro pricing is per cluster as follows: 
1. Primary Cluster - active 
2. DR Cluster - standby

Pro with Silver support (M-F, 9x5): 
Primary cluster: $35,000 per year
DR Cluster: $17,500 per year

Pro with Gold support (24x7): 
Primary cluster: $55,000 per year 
DR Cluster: $27,500 per year
- Please notes Gold support requires a minimum entry of $100,000 per year

источник

16:57пожаловаться #1

Vit in DevSecOps - русскоговорящее сообщество

Поделюсь, может тоже будет интересно, для налаживания отношений https://devops-moscow.timepad.ru/event/872315/ :) Москва

devops-moscow.timepad.ru

DevOps Moscow New Year Party / События на TimePad.ru

Новый год — это ожидание чуда и нового, поэтому мы решили закончить этот год полностью экспериментальным митапом. Наша следующая встреча будет про общение. Давайте вдоволь поговорим друг с другом на все доступные DevOps-темы! У митапа не будет никакой тематики, кроме новогоднего настроения.Итак, из новенького, во-первых, у нас будут лайт-доклады по 10 минут + вопросы. Во-вторых, после докладов мы проведем серию опенспейсов, где будем обсуждать темы, которые вы сами предложите.Будет пицца от Экспресс 42 (https://express42.com) и ништяки и площадка от Леруа Мерлен (https://leroymerlin.ru/).Приходите, будем чудить вместе, если хочешь чуда — чуди сам!

источник

22:53пожаловаться #2

2018 December 13

Pavel Pavlyuk in DevSecOps - русскоговорящее сообщество

Ребят, а кто-то пытается/пытался синхронизировать пользователей/группы из GSuit в Vault?

Я вдохновился их докой https://learn.hashicorp.com/vault/identity-access-management/iam-identity
Теперь хочу иметь identity/group и identity/entity синхронизированные с GSuit.
Нашел похожий идеологически верный прототип для kubernetes https://github.com/google-cloud-tools/kubernetes-rbac-synchroniser, там ребята синхронизируют GSuit с namespace в k8s.

Теперь думаю написать похожий тулинг, но только для Vault, может кто-то встречал что-то подобное? Интересуюсь дабы не делать велосипеды.

источник

11:02пожаловаться #3

Roman Rusakov in DevSecOps - русскоговорящее сообщество

Все ldap штуки что есть а природе по слухам не умеют гугл группы

источник

11:05пожаловаться #4

Pavel Pavlyuk in DevSecOps - русскоговорящее сообщество

ну это понятно, плагин для google oauth к vault есть, его просто надо будет немного дописать, чтобы он стал работать с identity/entity при авторизации. А вот сам пуллинг групп/пользователей из гкугла в vault я сходу не нашел

источник

11:08пожаловаться #5

Roman Rusakov in DevSecOps - русскоговорящее сообщество

По слухам также из гитхаба группы достаются норм)

источник

11:09пожаловаться #6

Roman Rusakov in DevSecOps - русскоговорящее сообщество

Я вот думаю стоит ли вообще завязываться на гугл

источник

11:09пожаловаться #7

Pavel Pavlyuk in DevSecOps - русскоговорящее сообщество

норм, но не очень безопасно и там без концепции identity/entity, identity/group.
плагин работает на уровне авторизации

источник

11:10пожаловаться #8

Alex Akulov in DevSecOps - русскоговорящее сообщество

Ты хочешь именно синхроницию групп из GSync в группы волта сделать или налету, при авторизации пользователя получать список GSync групп в которых он состоит?

источник

11:11пожаловаться #9

Pavel Pavlyuk in DevSecOps - русскоговорящее сообщество

я хочу именно синхронизацию гуглогрупп в группы волта, как отдельная штука, не на лету
На лету эта штука реализована, но она как-то выбивается из волтовской идеологии

источник

11:12пожаловаться #10

Сергей in DevSecOps - русскоговорящее сообщество

А чем выбивается?

источник

11:13пожаловаться #11

Alex Akulov in DevSecOps - русскоговорящее сообщество

Я могу судить только по ldap и там оно налету группы достаёт и политики под них применяет.
А просто синхронизацию вроде как ваще изи сделать.

источник

11:14пожаловаться #12

Pavel Pavlyuk in DevSecOps - русскоговорящее сообщество

> А чем выбивается?
у них тут целй пейпер https://learn.hashicorp.com/vault/identity-access-management/iam-identity
если коротко, то для LDAP и подобных вещей они пердлагают использовать эфимерные представления пользователей к которым цеплять уже реальных пользователей/токены, а также эфимерные группы в которые входят эти эфимерные представления

источник

11:15пожаловаться #13

Сергей in DevSecOps - русскоговорящее сообщество

что мешает для Gsuite сделать также - динамически выдёргивать группы и ассоциировать с ними политики?

источник

11:16пожаловаться #14

Сергей in DevSecOps - русскоговорящее сообщество

identity мне показался применим только для случаев, когда надо объединять пользователей из нескольких разных систем аутентификации

источник

11:16пожаловаться #15

Сергей in DevSecOps - русскоговорящее сообщество

если у тебя все пользователи ходят через gsuite и только через него, то особого смысла в identity нет, просто выдавай политики сразу на основе группы

источник

11:17пожаловаться #16

Roman Rusakov in DevSecOps - русскоговорящее сообщество

Alex Akulov

Это де такое?

источник

11:18пожаловаться #17

Pavel Pavlyuk in DevSecOps - русскоговорящее сообщество

google не предоставляет при oauth авторизации информацию о группах пользователей

источник

11:18пожаловаться #18

Pavel Pavlyuk in DevSecOps - русскоговорящее сообщество

т.е. это должен быть отдельный поход в гугл за информацией по группам пользователя

источник

11:19пожаловаться #19

Karey Oke in DevSecOps - русскоговорящее сообщество

Есть вариант вообще заиспользовать keycloak как основной identity provider с использованием ldap. И ходить в Гугл через аккаунты в ldap

источник

11:20пожаловаться #20