Сейчас пробую CoreOS.
Я достигаю точки, когда мне нужен мой контейнер, чтобы иметь доступ к некоторой секретной информации, например. Закрытые ключи SSL, ключи API и т.д.
Chef предлагает хорошие способы работы с этими секретами, самый простой из которых — зашифрованные пакеты данных. Я хотел бы иметь что-то подобное для CoreOS.
Каков идиоматический способ управления секретами с помощью CoreOS?
Приветствуются ответы, требующие дополнительных услуг (например, консула).
На данный момент не существует стандартного способа шифрования некоторых ключей в etcd или consul аналогично Chef Encrypted Data Bags. Существует проект под названием Crypt, предназначенный для решения этой проблемы. Он имеет реализацию для etcd и consul.
Вам, скорее всего, следует проверить этот проект:
Это инструмент от создателей Consul/Serf/Vagrant/.., предназначенный для управления секретами. Он работает в режиме сервера и шифрует данные перед записью на диск, на их веб-странице есть хорошее руководство «Начало работы», которое может дать хороший обзор, будет ли он работать для вас или нет.
Vault имеет открытый исходный код, и, поскольку еще один проект, написанный на языке Go, очень хорошо подходит для среды CoreOS.
Я думаю, что Обмен секретами может быть лучшим решением.
Далее нужно выяснить, как все это может аккуратно поместиться внутри etcd…
См. https://coderanger.net/chef-secrets/ для сводки основных параметров управления секреты в Шеф.
