Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Ansible Vault for CIOps

46fdd2ebc85d68659b83d5eb5c6a49aa?s=47 Keke
July 30, 2019
Technology
1
880

Ansible Vault for CIOps

46fdd2ebc85d68659b83d5eb5c6a49aa?s=128

Keke

July 30, 2019
Tweet

More Decks by Keke

See All by Keke
リモートワークを支える勤怠管理 ~プラットフォームとしてのSlackの活用 ~
46fdd2ebc85d68659b83d5eb5c6a49aa?s=48 keisukeyamashita
0
350
Serving GitHub Actions Self-Hosted Runner as a Platform (Part 1: Introduction)
46fdd2ebc85d68659b83d5eb5c6a49aa?s=48 keisukeyamashita
0
13
Serverlessを取り巻く現状とAll Serverlessでプロダクトを構築する苦労
46fdd2ebc85d68659b83d5eb5c6a49aa?s=48 keisukeyamashita
10
2.7k
Spinnakerで実践するマイクロサービスの 安全なリリースフローとベストプラクティス
46fdd2ebc85d68659b83d5eb5c6a49aa?s=48 keisukeyamashita
3
760
Spinnaker Application management by Terraform Plugins
46fdd2ebc85d68659b83d5eb5c6a49aa?s=48 keisukeyamashita
2
450
Open Policy AgentとSpinnakerで実現するマイクロサービスの安全な継続的デリバリー
46fdd2ebc85d68659b83d5eb5c6a49aa?s=48 keisukeyamashita
8
5.6k
How to develop a custom Terraform provider@Merpay SRE Tech Talk
46fdd2ebc85d68659b83d5eb5c6a49aa?s=48 keisukeyamashita
0
210
Introduction to Spinnaker Managed Pipeline Templates
46fdd2ebc85d68659b83d5eb5c6a49aa?s=48 keisukeyamashita
3
3.1k
Cloud Runでシステムを作るためのアーキテクチャのTipsとコストの話
46fdd2ebc85d68659b83d5eb5c6a49aa?s=48 keisukeyamashita
3
1.1k

Other Decks in Technology

See All in Technology
JAWS-UG 朝会 #36 登壇資料
08dd0b93e011904f40d60d5a1b54c671?s=48 takakuni
1
570
ログ集約基盤をCloudWatchからOpenSearchに変えてみた
098ad475722e3697ec2fba28c8654f9f?s=48 yuhta28
0
140
塩漬けにしているMySQL 8.0.xxをバージョンアップしたくなる、ここ数年でのMySQL 8.0の改善点 / MySQL Update 202208
7fb060398b26ed622d34921bd64e4f5d?s=48 yoshiakiyamasaki
1
710
VS Code Meetup #21 - もう一度知りたい基礎編 - ファイル操作、コーディングの基本編
Fc815be82d09a2e922d4000b65b9f83b?s=48 74th
0
200
Step-by-Step MLOps and Microsoft Products
0fa6038e477031fcca028bab0efe07e3?s=48 shisyu_gaku
1
570
hey BOOK
69f5ab96892df4d8cbe32189f2ed2d9d?s=48 heyinc
26
290k
Sysdig Secure/Falcoの活用術! ~Kubernetes基盤の脅威モデリングとランタイムセキュリティの強化~
41202c03511a51064abb970da0ca9fad?s=48 owlinux1000
0
270
DevelopersIO 2022 俺のTerraform Pipeline
08dd0b93e011904f40d60d5a1b54c671?s=48 takakuni
0
440
psql, my favorite tool!
18749909c147a9ee98f6b112911943cc?s=48 nuko_yokohama
1
180
ReverseETLでユーザーに価値を届ける基盤を実現した話
0c847ea07895706f7435ef67d31a5f6e?s=48 hakky
0
350
私のAWS愛を聞け!ここが好きだよAmazon FSx for NetApp ONTAP
586ad2cd1cfc66759754e86d0ce73f17?s=48 non97
0
780
20220803投資先CXO候補者向け 会社紹介資料_合同会社BLUEPRINT
08b07f5e5f554c4f4a6a30ef1cca28ad?s=48 hik
0
380

Featured

See All Featured
Debugging Ruby Performance
D47656e20ff5e42f125fc5ea0fd636c6?s=48 tmm1
65
10k
The Web Native Designer (August 2011)
0bce06bd06ee7a2c4f5500f25dcf7f18?s=48 paulrobertlloyd
75
2k
A Philosophy of Restraint
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
192
15k
Easily Structure & Communicate Ideas using Wireframe
0c6fd6a08d0f898159cda7cafcacf07f?s=48 afnizarnur
181
15k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
88f4e84b94fe07cddbd9e6479d689192?s=48 soudai
39
13k
Build The Right Thing And Hit Your Dates
016edace78ffe826f2348d1e0c504afd?s=48 maggiecrowley
19
1.2k
No one is an island. Learnings from fostering a developers community.
6bb82b13cda86d3b821fa44100335ddf?s=48 thoeni
9
1.3k
How to Ace a Technical Interview
2f5463832ccb768ccb4a1ca3607c27ef?s=48 jacobian
267
21k
The Cult of Friendly URLs
Ded01cdab114abe4ec13511e4c25b9bb?s=48 andyhume
68
4.8k
The MySQL Ecosystem @ GitHub 2015
Be9caeb9d4ef9944d151af909063ed6e?s=48 samlambert
239
11k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
B3ace07412a5178ea778e7eec161fc0a?s=48 jcasabona
12
940
Distributed Sagas: A Protocol for Coordinating Microservices
9128d500301ae51524e887bb680f471d?s=48 caitiem20
316
19k

Transcript

  1. 2019/07/30 ANSIBLE NIGHT LT ANSIBLE VAULT FOR CIOPS Keke Twitter:

    @_k_e_k_e

  2. $ WHOIAM KEISUKE YAMASHITA TWITTER: @_k_e_k_e 新卒で Merpay.inc SRE Team

    Chaos Engineering, Cashless are my main interest

  3. ANSIBLE VAULT シークレットを Encrypt ・Decrypt できるCLI ツール

  4. PRESENTATION AGENDA 皆さんに伝えたいこと CIOps というContinuous Delivery のパターン Ansible Vault を使ったCIOps

    運⽤のTips

  5. 場所に応じた最⼩限の権限をつけよう どこになんの権限が必要であるかを考えて権限付与 万が⼀のケースを考えよう 例: VM に⼊られるとprintenv などを使って簡単にパスワー ドを取れる CLI ツールとしてAnsible

    Vault は便利 CI とローカルでEncrypt ・Decrypt するには使い勝⼿がいい TAKEAWAY FOR CIOPS
  6. None
  7. None

  8. CIOPS って?

  9. 継続的デリバリーの主なPOINT AUTOMATION リリース作業をなくす。 ヒューマンエラーを防ぐ。 GET FEEDBACK すぐデプロイをして、ユーザーに価値を届ける。 バグを⾒つけるまでの時間を短縮。 ACCERATE WITH

    MICROSERVICE マイクロサービス アーキテクチャに伴い、デプロイ数の急増するので スケールさせるには継続的デリバリーが必要。

  10. WHATS CIOPS?

  11. WHATS CIOPS? CD の⼀つのパターン deploy trigger push

  12. WHATS CIOPS? CD の⼀つのパターン deploy trigger push Deploy by CI

  13. WHATS CIOPS? CD の⼀つのパターン deploy trigger push Some secrets Deploy

    by CI

  14. どうやってCIOPS のために SECRET 管理するの?

  15. $ cat .env DB_USER: root DB_PASS: tsuyoi_password_ni_sitene DB_NAME: master EXTERNAL_ACCESS_TOKEN:

    gaibu_ni_access_suru_token

  16. 1. RAW SECRETS 管理

  17. RAW SECRETS 管理 1. $ git push deploy trigger push

  18. RAW SECRETS 管理 1. $ git push deploy trigger push

  19. RAW SECRETS ON GITHUB PROS & CONS SECRET へ 誰でもアクセスできる

    Github が漏出したら 終わり コミットに永遠に残り Revoke するのが難しい

  20. 2. CI でSERECT 管理

  21. 2. CI でSERECT 管理

  22. 2. CI 上でSERECT 管理 Git にはSerect は載せない $ echo ".env"

    >> .gitignore

  23. 2. CI 上でSERECT 管理 config deploy trigger push

  24. 2. CI 上でSERECT 管理 CI に設定 ( この例ではCircleCI)

  25. SEALED SECRETS ON CI PROS & CONS 何かしらの⽅法で Dev にPassword

    を 渡さないといけない CI にPassword の 漏洩リスクあり Git には Secret はない Password 変更があると CI も変更しないといけない

  26. 3. SEALED SECRECT によるCIOPS secrets write Admin Dev Dev Dev

    Dev Dev Read

  27. 3. SEALED SECRECT によるCIOPS

  28. 3. SEALED SECRECT によるCIOPS

  29. 3. SEALED SECRECT によるCIOPS deploy trigger push deploy trigger Encrypt

    Decrypt config password password password

  30. SECRETS ON CI PROS & CONS 何かしらの⽅法で Sercet を共有しないといけない CI

    に漏洩リスクあり Git に漏洩リスクはなく デプロイできる

  31. 3. SEALED SECRECT によるCIOPS password write Admin Dev Dev Dev

    Dev Dev Read

  32. ANSIBLE VAULT

  33. ANSIBLE VAULT シークレットを Encrypt ・Decrypt できるCLI ツール

  34. $ cat .env DB_USER: root DB_PASS: tsuyoi_password_ni_sitene DB_NAME: master EXTERNAL_ACCESS_TOKEN:

    gaibu_ni_access_suru_token

  35. Encrypt 1. $ ansible-vault encrypt .env.yml => New Vault password:

    [ パスワード⼊れる] => Confirm Vault password: [ 再度パスワード⼊れる] $ANSIBLE_VAULT;1.1;AES256 62663931376163656235343237376235636664303733643139346565326633336664643938333164 6635393466386336383133316262343033363838373939380a343339346136353935303938373937 38386664323865633431313430666532303731346361346331656565643236386435366535346239 ....

  36. 2. Decrypt $ ansible-vault decrypt .env.yml => New Vault password:

    [ パスワード⼊れる] => Confirm Vault password: [ 再度パスワード⼊れる] DB_USER: root DB_PASS: tsuyoi_password_ni_sitene DB_NAME: master EXTERNAL_ACCESS_TOKEN: gaibu_ni_access_suru_token

  37. 3. SEALED SECRECT によるCIOPS Encrypt password $ ansible-vault encrypt .env.yml

  38. 3. SEALED SECRECT によるCIOPS push Encrypt password

  39. 3. SEALED SECRECT によるCIOPS trigger push trigger Encrypt Decrypt config

    password password password $ ansible-vault decrypt .env.yml

  40. 3. SEALED SECRECT によるCIOPS deploy trigger push deploy trigger Encrypt

    Decrypt config password password password

  41. $ ssh -p 64535 100.xxx.yyy.zzz <= ノードに⼊る $ printenv DB_NAME=master

    DB_PASSWORD=tsuyoi_password_ni_sitene DB_USER=root EXTERNAL_ACCESS_TOKEN=gaibu_ni_access_suru_token

  42. 4. DECRYPT IN APPLICATION

  43. 4. DECRYPT IN APPLICATION deploy trigger push deploy trigger IAM

    secrets IAM secrets secrets IAM secrets Authn/z keys

  44. 3. SEALED SECRECT によるCIOPS deploy trigger push deploy trigger IAM

    secrets IAM secrets secrets IAM secrets Authn/z keys Deploy KMS

  45. $ cat .env.dev.yml $ ansible-vault encrypt .env.dev.yml --out .env.dev.yml.enc .

    --vault-password-file=<(echo "password")

  46. $ STAGE="prod" $ ansible-vault encrypt .env.$STAGE.yml --out .env.$STAGE.yml.enc - -vault-password-file=<(echo

    $PASSWORD)

  47. HASHICORP VAULT Secret を管理するためのソフ トウェア。最近、 Kubernetes と合わせて使わ れるケースが多い。 GOOGLE BERGLAS

    Google Cloud Storage と Cloud KMS での SealedSecret BITNAME SEALED SECRETS Kubernetes 上でDecrypt で きるSealedSecret を実現する コントローラー Compare

  48. 場所に応じた最⼩限の権限をつけよう どこになんの権限が必要であるかを考えて権限付与 万が⼀のケースを考えよう 例: VM に⼊られるとprintenv などを使って簡単にパスワー ドを取れる CLI ツールとしてAnsible

    Vault は便利 CI とローカルでEncrypt ・Decrypt するには使い勝⼿がいい TAKEAWAY FOR CIOPS

  49. THANK YOU