User Tools
управление_секретами_в_сети_предприятия
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
управление_секретами_в_сети_предприятия [2026/02/26 08:44] val [Подготовка к вебинару] |
управление_секретами_в_сети_предприятия [2026/03/13 14:10] (current) val [Запись вебинара] |
||
|---|---|---|---|
| Line 20: | Line 20: | ||
| ===== Запись вебинара ===== | ===== Запись вебинара ===== | ||
| - | * Тэги: | + | * Ютуб: https://youtu.be/-bK7e7IodWI |
| + | * Рутуб: https://rutube.ru/video/39004cb2231017de5a32e9ae74c7e7b9/ | ||
| + | * Вк: https://vkvideo.ru/video-2190892_456239499 | ||
| + | |||
| + | * Тэги: Ansible, Hashicorp, Vault, Git, Gitlab, CI/CD, transit, secrets, engine | ||
| ===== Шаг 1. Что у нас есть, для начала ===== | ===== Шаг 1. Что у нас есть, для начала ===== | ||
| Line 29: | Line 33: | ||
| ===== Шаг 2. ansible-vault ===== | ===== Шаг 2. ansible-vault ===== | ||
| + | |||
| + | <code> | ||
| + | vagrant@node3:~$ sudo rm /etc/ssl/private/server.key | ||
| + | |||
| + | ~/openvpn1# ansible-playbook openvpn1.yaml -i inventory.yaml -e "variable_host=test_nodes" | ||
| + | |||
| + | vagrant@node3:~$ sudo less /etc/ssl/private/server.key | ||
| + | </code> | ||
| * [[Сервис Ansible#ansible-vault]] | * [[Сервис Ansible#ansible-vault]] | ||
| - | * GitLab [[Инструмент GitLab#Пример shell ansible]] | ||
| <code> | <code> | ||
| - | vagrant@nodeN:~$ sudo rm /etc/ssl/private/server.key | + | vagrant@node1:~$ sudo rm /etc/ssl/private/server.key |
| + | </code> | ||
| - | vagrant@nodeN:~$ sudo less /etc/ssl/private/server.key | + | * GitLab [[Инструмент GitLab#Пример shell ansible]] |
| + | |||
| + | <code> | ||
| + | vagrant@node1:~$ sudo less /etc/ssl/private/server.key | ||
| </code> | </code> | ||
| Недостатки: | Недостатки: | ||
| - если сменится пароль на узлы, надо перешифровывать значения в inventory | - если сменится пароль на узлы, надо перешифровывать значения в inventory | ||
| - | - ключ шифрования используется в "явном" виде и может быть "украден" | + | - ключ шифрования не хранится (и не может быть изменен) централизованно, и не может быть предоставлен на ограниченное время |
| * Подготовка к следующему шагу: | * Подготовка к следующему шагу: | ||
| Line 58: | Line 73: | ||
| Недостатки: | Недостатки: | ||
| - | - логин/пароль "лежат" в Vault в "открытом" виде (и передается в нашей инсталляции тоже:) | + | * логин/пароль "лежат" в Vault, но, зная токен, их можно "украсть" с любой системы, откуда доступен Vault |
| - | - зная токен, их можно "украсть" с любой системы, откуда доступен Vault | + | |
| ===== Шаг 4. Hashicorp Vault Vault auth token role ===== | ===== Шаг 4. Hashicorp Vault Vault auth token role ===== | ||
| Line 70: | Line 84: | ||
| Недостатки: | Недостатки: | ||
| - | - файл с приватным ключом остался в открытом виде | + | * файл с приватным ключом остался в открытом виде |
| ===== Шаг 5. Hashicorp Vault Transit secrets engine ===== | ===== Шаг 5. Hashicorp Vault Transit secrets engine ===== | ||
| Line 82: | Line 96: | ||
| ===== Шаг 6. Удаление чувствительных данных (паролей, ключей) из репозитория ===== | ===== Шаг 6. Удаление чувствительных данных (паролей, ключей) из репозитория ===== | ||
| + | * [[Сервис Git#Поиск чувствительных данных (паролей, ключей) в репозитории]] | ||
| * [[Сервис Git#Удаление чувствительных данных (паролей, ключей) из репозитория]] | * [[Сервис Git#Удаление чувствительных данных (паролей, ключей) из репозитория]] | ||
| + | * Обсудить [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]] | ||
| + | * Показать [[Технология Vagrant#Provision с использованием внешних скриптов]] | ||
| + | ===== Вопросы? ===== | ||
| ===== Подготовка к вебинару ===== | ===== Подготовка к вебинару ===== | ||
управление_секретами_в_сети_предприятия.1772084699.txt.gz · Last modified: 2026/02/26 08:44 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
