VA
при релизе? Тут два вариант — или закидывай изменчивые данные через ENV (докер way) или по олдскулу шаблонизируй конфиг
Я думал поставить конфиг в gitlab и уже при релизе читать его
Size: a a a
2020 March 27
S
Я до кубера через ansible релизил, там и env можно передать и доступ ко всему через sshkey
OR
ты можешь сделать в каком-то entrypoint
через shell сделать env которые будут доступны только при старте контейнера
только в самом bash скрипте 1 раз
вроде так
теже
через shell сделать env которые будут доступны только при старте контейнера
только в самом bash скрипте 1 раз
вроде так
теже
export в контексте 1 bash скрипта cработают 1 раза ну типа курлом куданить сходить в тот же вольт, получить значения и с ним запустить (по типу NODE_ENV). ну да, ток я чет такой подход еще не видел ни разу пока что, ну идея норм
OR
Я до кубера через ansible релизил, там и env можно передать и доступ ко всему через sshkey
да, но они же доступны всем пользователям, которые смогут подключиться на машину, не?
S
да, но они же доступны всем пользователям, которые смогут подключиться на машину, не?
Нет, у тебя на локалке лежит key и playbook ты его дергаешь и красота. Ключ нигде не шарится
OR
но энвы уже на машине же установлены после деплоя, если я подключаюсь - все, смогу прочитать, или как?
S
но энвы уже на машине же установлены после деплоя, если я подключаюсь - все, смогу прочитать, или как?
Ну вот ты заходишь на сервер вводишь MY_SYPER_KEY=ххх npx nestjs_modules приложения запускается с env но самого же env нету...
S
У второго кто зайдет на этот акк этого енва не будет.
S
Ну а с ноды там в любом случаи process.env и все доступно
S
Магия линукс, под одним пользователем могут и сотни сидеть)
OR
Ну вот ты заходишь на сервер вводишь MY_SYPER_KEY=ххх npx nestjs_modules приложения запускается с env но самого же env нету...
ну вот такой вариант да ок в ансибле, если в докере такое делать через ентрипойнт с получением по курлу ну или аналогично значений выглядит так се
OR
ну и стандартная установка энвов в кубере уже тоже не прокатывает как секурная))
S
ну и стандартная установка энвов в кубере уже тоже не прокатывает как секурная))
Там разные уровни доступа можно устанавливать, ну а вообще, тот у кого есть доступ к куберу понятное дело может делать все что угодно. Лично я агитирую за skaffold его можно с локалки дергать он сам добавит секрете при запуске сам удалит при остановке.. красота
OR
Там разные уровни доступа можно устанавливать, ну а вообще, тот у кого есть доступ к куберу понятное дело может делать все что угодно. Лично я агитирую за skaffold его можно с локалки дергать он сам добавит секрете при запуске сам удалит при остановке.. красота
ну я тут не про доступ к куберу а доступ к конкретному контейнеру, и если передавать секреты через
env, то считай что злоумышленник попавший в контейнер их прочитаетS
ну я тут не про доступ к куберу а доступ к конкретному контейнеру, и если передавать секреты через
env, то считай что злоумышленник попавший в контейнер их прочитаетТак в кубере нету env есть секреты, ты просто в yaml указываешь какой файл секретов подключить. А сами секреты в кубере хранятся.
OR
Так в кубере нету env есть секреты, ты просто в yaml указываешь какой файл секретов подключить. А сами секреты в кубере хранятся.
так секреты передаются в контейнер с приложением как? через env
S
Нет. Просто контейнер запускается уже с енвами, тоже самое что и с docker-compose ты в файле прописываешь и контейнер запускается с ними. Только без композа. Вот можешь посмотреть, все что в kubernetes может лежать у тебя на локалке и никуда не шарится https://github.com/svtslv/nestjs-kubernetes
S
сами yaml они не должны на сервере хранится. Это просто файлы конфигурации которые добавятся в кубер, которые кубер настроят.
OR
та я в курсе что оно хранится нормально, но в контейнер попадает либо файлом примаученным либо через енвы устанавливается, вот я ссылку выше прислал, и любой кто туда попадет получается сможет прочитать эти энвы. кароч удаляюсь из дискуссии