I
само решение "отдельный секрет на отдельный под" коряво тем, что у всех подов один SA - а значит и все секреты должны быть ему доступны
Увы, это требование кастомеров. Связано с финансами
Size: a a a
2020 June 25
L
Ну сбоку костыль приставляешь. Которым конфиг настраиваешь
I
Хм чо? Что значит один са на все поды???
И как са для пода связан с секретами?
И как са для пода связан с секретами?
Я тоже не поняла и вопрошаю
L
Увы, это требование кастомеров. Связано с финансами
А ты лучше расскажи каким образом у вас трафик от клиентов в нужный под попадает
I
А ты лучше расскажи каким образом у вас трафик от клиентов в нужный под попадает
У нас gRPC внутри, через него все запросы летят
I
Попросили эту фичу добавления API ключей реализовать, но так как эти ключи по сути приватные шо пиздец, нужно думать
L
У нас gRPC внутри, через него все запросы летят
Охрененно непонятное объяснение.
Как протокол общения связан с маршрутизацией запросов?
Как протокол общения связан с маршрутизацией запросов?
I
Охрененно непонятное объяснение.
Как протокол общения связан с маршрутизацией запросов?
Как протокол общения связан с маршрутизацией запросов?
Те поды, что с API ключами никаких эндоинтов не обслуживают, только внутреннюю логику и 3rd party
I
Я не могу более подробно рассказать, нда же
I
Те поды, что с API ключами никаких эндоинтов не обслуживают, только внутреннюю логику и 3rd party
Для конекта с 3rd party и нужны эти ключи
I
Это очень маленький сервис, который все что делает это бросает запросы в этот 3rd party и висит на сокете, регистрирует апдейты
VR
Хм чо? Что значит один са на все поды???
И как са для пода связан с секретами?
И как са для пода связан с секретами?
один CA на все поды в деплойменте
GG
один CA на все поды в деплойменте
Расшифруй плиз
GG
Хм чо? Что значит один са на все поды???
И как са для пода связан с секретами?
И как са для пода связан с секретами?
Я так понимаю, что коллега имеет в виду, что при наличии са можно читать объекты из этого нейиспейса
k
@vrutkovs не знаешь а Open Service Broker API живое ещё? Не планируется его депрекейтить?
(я так на всякий случай интересуюсь, хочу потыкать)
(я так на всякий случай интересуюсь, хочу потыкать)
GG
Но кажется, что это не совсем справедливо всегда
L
Расшифруй плиз
во все поды деплоймента монтируется токен от сервис аккаунта. один и тот же.
но он никоим образом не связан с доступом к секретам. по умолчанию у этого токена вообще миминальные права )
но он никоим образом не связан с доступом к секретам. по умолчанию у этого токена вообще миминальные права )
VR
GG
во все поды деплоймента монтируется токен от сервис аккаунта. один и тот же.
но он никоим образом не связан с доступом к секретам. по умолчанию у этого токена вообще миминальные права )
но он никоим образом не связан с доступом к секретам. по умолчанию у этого токена вообще миминальные права )
Ну, я так же думал
L
Это очень маленький сервис, который все что делает это бросает запросы в этот 3rd party и висит на сокете, регистрирует апдейты
а безопасники требуют физического разделения по доступам к ключам. чтобы каждый сервис имел доступ только к одному ключу....
а брать список банков и ключи доступа из базы - типа небизапасна...
вама нужен хелм чарт, с циклами внутрях.
указываете список секретов в кубе и хелм вам нагенерит кучу деплойментов, каждый с монтированием своего секрета
а брать список банков и ключи доступа из базы - типа небизапасна...
вама нужен хелм чарт, с циклами внутрях.
указываете список секретов в кубе и хелм вам нагенерит кучу деплойментов, каждый с монтированием своего секрета