S
там добавляется динамически генерируемый второй токен, который доставляется тем же дженкинсом
Size: a a a
2019 January 11
YS
Также можно настроить протухание для токенов и по числу использований и по времени.
S
и по IP
YS
Stanislav Sharakhin
и по IP
Да и по IP ограничения на ура летят, но надо править конфиг волта, по умолчанию bound_cidrs не завелось у меня. Пришлось запретить любой доступ к волту не через определённые балансеры
AA
сложна.jpg
YS
сложна.jpg
По началу, да и потом, но всё проще и проще.
https://git.infra-lab.xyz/infra-lab.xyz/docker-lab/blob/master/vault-cluster/configs/consul-client/vault-config-node-1.hcl
https://git.infra-lab.xyz/infra-lab.xyz/docker-lab/blob/master/vault-cluster/configs/consul-client/vault-config-node-1.hcl
YS
Это демо реп, поэтому не радуйтесь что тут токены в открытом виде
С
если ты хранишь рядом secretid и roleid без всякого разделения, то хранить токен это тоже самое
С
и шаг получения токена в этом случае тупо лишний
YS
если ты хранишь рядом secretid и roleid без всякого разделения, то хранить токен это тоже самое
Я в ENV отдаю secret-id, но он протухает сразу после авторизации. Role-id в код зашит, но тоже можно рядом положить. А вот токен всегда в памяти. Его знают лишь волт и приложение
YS
Мой подход плох тем что приложение само не поднимется и надо быть готовым пойти и передеплоить сервис если он упал
S
куберовские сайдкары вроде помогают
S
но мои разрабы учат приложение работать с этой схемой
S
матерятся изрядно правда
YS
у меня нет k8s. Для кубера волт запилили агента. Но не могу ничего про него сказать
YS
вроде как он похож на то что авито сами написали
S
воу!
YS
Спасибо Stanislav Sharakhin за то что помог мне найти доку )