Hashicorp Vault — собираем непрямую репликацию через ведро
Hashicorp Vault - прекрасный продукт для централизованного хранения всех паролей и других секретов компании. При этом, многие знают, что удобная ключница - это идеальный способ потерять все ключи одновременно. Когда я работал в крупном телекоме, то DRP-протоколы с восстановлением данных учитывали даже запрет на сбор более двух Хранителей Ключей в одном месте. Чисто на случай очень неудачного корпоратива с совместным полетом на воздушном шаре, дегустацией домашних грибов или другими подобными факторами. Короче, если вы внедряете подобную систему, то вам надо очень внимательно подходить не только к вопросам эксплуатации, но и резервного копирования и восстановления.
Сегодня я не буду глубоко касаться темы организации правильного хранения фрагментов ключей Шамира. Вместо этого, я попробую рассказать о том, как развернуть с нуля отказоустойчивый кластер Hashicorp Vault в community edition. Для этого поднимем основной и тестовый кластер Vault в нескольких регионах и датацентрах. Тестовый кластер у нас одновременно будет служить и резервным в рамках процедуры DRP.
Чтобы было совсем интересно, настроим процесс таким образом, чтобы тестовый кластер был односторонней репликой продуктивного с отставанием в несколько суток. Разумеется, все развертывание мы будем проводить в парадигме Infrastructure-as-a-code с Terraform и Ansible в качестве основных инструментов.
Сейчас расскажу, когда это может пригодиться и какими ansible-модулями можно для этого воспользоваться. Сразу предупреждаю - это будет лонгрид, так как я не люблю разбивать на кучу мелких постов единый туториал.
Читать далееИсточник: Хабрахабр
Похожие новости
- Превратили корпоративный блог в медиаплощадку для всего диджитал-рынка и получили 5500 статей за 10 месяцев
- В рейтинг Forbes в 4 года! Рассуждаем о тренде на кидфлюенсеров
- Как придумывать и запоминать пароли для разных сервисов
- Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 1
- Дайджест ИБ-регулирования. Апрель-июнь 2025
- Цикл вебинаров про разработку безопасного программного обеспечения (ГОСТ Р 56939-2024)
- От HackerOne к родным берегам: как меняется российский багхантинг
- [Перевод] Локальные прокси — новый двигатель цифровых атак
- Редакция Spark.ru: Всемирная история торговли в стиле Сатирикона: часть 10. «Пиво и Люди»
- Сравнение технологий PKI и FIDO для задач аутентификации