DK
у нас через jsonencode функцию
https://gist.github.com/dizer/835d2d6b129e30feb20b32023a34b150
https://gist.github.com/dizer/835d2d6b129e30feb20b32023a34b150
То есть выходит тут одно приложение - один тф модуль?
Size: a a a
2020 January 04
DK
Глянуть бы как секреты и как параметры среды хранятся
YA
Глянуть бы как секреты и как параметры среды хранятся
https://gist.github.com/dizer/9b01dd03335b299690349c946f2f4054
ENV прямо в tf коде, так что их изменение приведет к созданию новой версии таска и редеплою, что нам и надо.
А вот секреты в SSM (не SecretManager так как у нас десятка два секретов и мы бы разорились). Вторая половина гиста описывает модуль для SSM. Терраформ игнорирует измения в SSM, так что после изменения приходится отдельно запускать редеплой.
ENV прямо в tf коде, так что их изменение приведет к созданию новой версии таска и редеплою, что нам и надо.
А вот секреты в SSM (не SecretManager так как у нас десятка два секретов и мы бы разорились). Вторая половина гиста описывает модуль для SSM. Терраформ игнорирует измения в SSM, так что после изменения приходится отдельно запускать редеплой.
DK
https://gist.github.com/dizer/9b01dd03335b299690349c946f2f4054
ENV прямо в tf коде, так что их изменение приведет к созданию новой версии таска и редеплою, что нам и надо.
А вот секреты в SSM (не SecretManager так как у нас десятка два секретов и мы бы разорились). Вторая половина гиста описывает модуль для SSM. Терраформ игнорирует измения в SSM, так что после изменения приходится отдельно запускать редеплой.
ENV прямо в tf коде, так что их изменение приведет к созданию новой версии таска и редеплою, что нам и надо.
А вот секреты в SSM (не SecretManager так как у нас десятка два секретов и мы бы разорились). Вторая половина гиста описывает модуль для SSM. Терраформ игнорирует измения в SSM, так что после изменения приходится отдельно запускать редеплой.
Спасибо. Это очень вдохновляет :)
DK
https://gist.github.com/dizer/9b01dd03335b299690349c946f2f4054
ENV прямо в tf коде, так что их изменение приведет к созданию новой версии таска и редеплою, что нам и надо.
А вот секреты в SSM (не SecretManager так как у нас десятка два секретов и мы бы разорились). Вторая половина гиста описывает модуль для SSM. Терраформ игнорирует измения в SSM, так что после изменения приходится отдельно запускать редеплой.
ENV прямо в tf коде, так что их изменение приведет к созданию новой версии таска и редеплою, что нам и надо.
А вот секреты в SSM (не SecretManager так как у нас десятка два секретов и мы бы разорились). Вторая половина гиста описывает модуль для SSM. Терраформ игнорирует измения в SSM, так что после изменения приходится отдельно запускать редеплой.
А как выглядит жизненный цикл секретов?
DK
- создали новое приложение.
- знаем что нужен секрет password.
- добавляем его в Терраформ.
- значение вручную в ssm
Так?
- знаем что нужен секрет password.
- добавляем его в Терраформ.
- значение вручную в ssm
Так?
RS
https://gist.github.com/dizer/9b01dd03335b299690349c946f2f4054
ENV прямо в tf коде, так что их изменение приведет к созданию новой версии таска и редеплою, что нам и надо.
А вот секреты в SSM (не SecretManager так как у нас десятка два секретов и мы бы разорились). Вторая половина гиста описывает модуль для SSM. Терраформ игнорирует измения в SSM, так что после изменения приходится отдельно запускать редеплой.
ENV прямо в tf коде, так что их изменение приведет к созданию новой версии таска и редеплою, что нам и надо.
А вот секреты в SSM (не SecretManager так как у нас десятка два секретов и мы бы разорились). Вторая половина гиста описывает модуль для SSM. Терраформ игнорирует измения в SSM, так что после изменения приходится отдельно запускать редеплой.
> А вот секреты в SSM (не SecretManager так как у нас десятка два секретов и мы бы разорились).
Сурово — 8 долларов в месяц = разорение? :)
Также замечу, что в одном секрете можно хранить не только одно значение, а целый файл переменных, например, какой-нибудь config.yaml.
Сурово — 8 долларов в месяц = разорение? :)
Также замечу, что в одном секрете можно хранить не только одно значение, а целый файл переменных, например, какой-нибудь config.yaml.
DK
Легко можно предоложить, что 20 секретов на каждое приложение, и допустим 10 приложений, и допустим 3 среды.
DK
Но SSM Parameter Store это чит, амазон несколько лоханулся)
DK
> А вот секреты в SSM (не SecretManager так как у нас десятка два секретов и мы бы разорились).
Сурово — 8 долларов в месяц = разорение? :)
Также замечу, что в одном секрете можно хранить не только одно значение, а целый файл переменных, например, какой-нибудь config.yaml.
Сурово — 8 долларов в месяц = разорение? :)
Также замечу, что в одном секрете можно хранить не только одно значение, а целый файл переменных, например, какой-нибудь config.yaml.
Но с циклом жизни Secrets Manager я бы тоже послушал 🙂
RS
Легко можно предоложить, что 20 секретов на каждое приложение, и допустим 10 приложений, и допустим 3 среды.
Так и предполагал, т.е. 240 долларов в месяц. Если у вас 10 приложений (проектов), можно предположить, что это 5-10 команд или человек 50, а значит в общей стоимости это будет далеко за горизонтом погрешности случайно забытых и непогашенных ресурсов.
RS
Но SSM Parameter Store это чит, амазон несколько лоханулся)
Амазон - это всегда много способов решения, этим и хорош.
DK
Так и предполагал, т.е. 240 долларов в месяц. Если у вас 10 приложений (проектов), можно предположить, что это 5-10 команд или человек 50, а значит в общей стоимости это будет далеко за горизонтом погрешности случайно забытых и непогашенных ресурсов.
😄 5-10 команд)))) у нас было 50 приложений и 5 человек включая SRE/DevOps
DK
Приложения - они же микросервисы, само собой
DK
а не Приложение=продукт
RS
Тогда ясно. Однако, всё же, я пользуюсь секретами, пихая в них yaml-конфиг на одно приложение и мне удобно.
RS
И недорого. :)
DK
А как это передается в контейнер?
RS
В моём случае это логика приложения - распарсить переменные из единого конфига.
Для контейнеров, тут Вы правы, такого нет, задуманы лишь отдельные значения с крайне неэффективным использованием допустимых 10КБ на секрет. Нужно наворачивать что-то сверху своё, что может испортить удобность работы.
Короче, как обычно — либо дорого и удобно, либо бесплатно и неудобно, либо дешево и не очень. Выбирай на вкус.
Для контейнеров, тут Вы правы, такого нет, задуманы лишь отдельные значения с крайне неэффективным использованием допустимых 10КБ на секрет. Нужно наворачивать что-то сверху своё, что может испортить удобность работы.
Короче, как обычно — либо дорого и удобно, либо бесплатно и неудобно, либо дешево и не очень. Выбирай на вкус.
YA
- создали новое приложение.
- знаем что нужен секрет password.
- добавляем его в Терраформ.
- значение вручную в ssm
Так?
- знаем что нужен секрет password.
- добавляем его в Терраформ.
- значение вручную в ssm
Так?
Да, так. Не особо изящно, зато просто.