Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Ansible Vault for CIOps

Keke
July 30, 2019
Technology
1
990

Ansible Vault for CIOps

Keke

July 30, 2019
Tweet

More Decks by Keke

See All by Keke
リモートワークを支える勤怠管理 ~プラットフォームとしてのSlackの活用 ~
keisukeyamashita
0
490
Serving GitHub Actions Self-Hosted Runner as a Platform (Part 1: Introduction)
keisukeyamashita
0
170
Serverlessを取り巻く現状とAll Serverlessでプロダクトを構築する苦労
keisukeyamashita
10
2.8k
Spinnakerで実践するマイクロサービスの 安全なリリースフローとベストプラクティス
keisukeyamashita
3
880
Spinnaker Application management by Terraform Plugins
keisukeyamashita
2
630
Open Policy AgentとSpinnakerで実現するマイクロサービスの安全な継続的デリバリー
keisukeyamashita
8
5.8k
How to develop a custom Terraform provider@Merpay SRE Tech Talk
keisukeyamashita
0
330
Introduction to Spinnaker Managed Pipeline Templates
keisukeyamashita
3
5.2k
Cloud Runでシステムを作るためのアーキテクチャのTipsとコストの話
keisukeyamashita
3
1.2k

Other Decks in Technology

See All in Technology
SRE成熟度評価におけるポストモーテムLv.3ガイドライン
shotatsuge
7
1.1k
様々なユースケースに利用できる "パスキー" の 導入事例の紹介とUXの課題解説 @ DroidKaigi 2023
ritou
1
1.7k
深いドメインと統合型経営プラットフォームを支えるモジュラモノリスの事例 / Modular Monolith That Support Deep Domains And Integrated Management Platform
ogugu9
17
5.2k
DroidKaigi 2023
keiji
0
310
Efficient Feature Implementation Using Type Merging
mtyk_15
0
280
承認コネクタについて
miyakemito
1
110
Material 3 やめました / Good-bye M3 design system
yanzm
3
2.1k
Building smarter apps with machine learning, from magic to reality
picardparis
4
3.6k
[PHPカンファレンス沖縄2023]【実践編】良いプロダクト作りのための組織育成 健全なコードは健全な組織、健全なチームから
ikezoemakoto
0
170
Setting up Monitoring for Kubernetes
prathamesh
0
150
サイバーエージェントのGitHub Copilot導入と 開発生産性
kurochan
23
20k
アジャイルリーダークイズ王 2023 #scrummikawa / agile leader quiz king 2023
kyonmm
PRO
1
260

Featured

See All Featured
Atom: Resistance is Futile
akmur
257
24k
[Brighton Ruby 2023] The Magic of Rails
eileencodes
3
260
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
318
20k
Learning to Love Humans: Emotional Interface Design
aarron
265
38k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Pencils Down: Stop Designing & Start Developing
hursman
115
10k
Build your cross-platform service in a week with App Engine
jlugia
223
17k
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
215
12k
Six Lessons from altMBA
skipperchong
17
2.6k
The Art of Programming - Codeland 2020
erikaheidi
39
12k
The Illustrated Children's Guide to Kubernetes
chrisshort
26
45k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
16
1.4k

Transcript

  1. 2019/07/30 ANSIBLE NIGHT LT
    ANSIBLE VAULT
    FOR CIOPS
    Keke
    Twitter: @_k_e_k_e

    View Slide

  2. $ WHOIAM
    KEISUKE YAMASHITA
    TWITTER: @_k_e_k_e
    新卒で Merpay.inc SRE Team
    Chaos Engineering, Cashless are my main interest

    View Slide

  3. ANSIBLE VAULT
    シークレットを
    Encrypt
    ・Decrypt
    できるCLI
    ツール

    View Slide

  4. PRESENTATION AGENDA
    皆さんに伝えたいこと
    CIOps
    というContinuous Delivery
    のパターン
    Ansible Vault
    を使ったCIOps
    運⽤のTips

    View Slide

  5. 場所に応じた最⼩限の権限をつけよう
    どこになんの権限が必要であるかを考えて権限付与
    万が⼀のケースを考えよう
    例: VM
    に⼊られるとprintenv
    などを使って簡単にパスワー
    ドを取れる
    CLI
    ツールとしてAnsible Vault
    は便利
    CI
    とローカルでEncrypt
    ・Decrypt
    するには使い勝⼿がいい
    TAKEAWAY
    FOR CIOPS

    View Slide

  6. View Slide

  7. View Slide

  8. CIOPS
    って?

    View Slide

  9. 継続的デリバリーの主なPOINT
    AUTOMATION
    リリース作業をなくす。
    ヒューマンエラーを防ぐ。
    GET FEEDBACK
    すぐデプロイをして、ユーザーに価値を届ける。
    バグを⾒つけるまでの時間を短縮。
    ACCERATE WITH MICROSERVICE
    マイクロサービス アーキテクチャに伴い、デプロイ数の急増するので
    スケールさせるには継続的デリバリーが必要。

    View Slide

  10. WHATS CIOPS?

    View Slide

  11. WHATS CIOPS?
    CD
    の⼀つのパターン
    deploy
    trigger
    push

    View Slide

  12. WHATS CIOPS?
    CD
    の⼀つのパターン
    deploy
    trigger
    push
    Deploy by CI

    View Slide

  13. WHATS CIOPS?
    CD
    の⼀つのパターン
    deploy
    trigger
    push
    Some secrets
    Deploy by CI

    View Slide

  14. どうやってCIOPS
    のために
    SECRET
    管理するの?

    View Slide

  15. $ cat .env
    DB_USER: root
    DB_PASS: tsuyoi_password_ni_sitene
    DB_NAME: master
    EXTERNAL_ACCESS_TOKEN: gaibu_ni_access_suru_token

    View Slide

  16. 1. RAW SECRETS
    管理

    View Slide

  17. RAW SECRETS
    管理
    1.
    $ git push
    deploy
    trigger
    push

    View Slide

  18. RAW SECRETS
    管理
    1.
    $ git push
    deploy
    trigger
    push

    View Slide

  19. RAW SECRETS ON GITHUB
    PROS & CONS
    SECRET

    誰でもアクセスできる Github
    が漏出したら
    終わり
    コミットに永遠に残り
    Revoke
    するのが難しい

    View Slide

  20. 2. CI
    でSERECT
    管理

    View Slide

  21. 2. CI
    でSERECT
    管理

    View Slide

  22. 2. CI
    上でSERECT
    管理
    Git
    にはSerect
    は載せない
    $ echo ".env" >> .gitignore

    View Slide

  23. 2. CI
    上でSERECT
    管理
    config
    deploy
    trigger
    push

    View Slide

  24. 2. CI
    上でSERECT
    管理
    CI
    に設定 (
    この例ではCircleCI)

    View Slide

  25. SEALED SECRETS ON CI
    PROS & CONS
    何かしらの⽅法で
    Dev
    にPassword

    渡さないといけない
    CI
    にPassword

    漏洩リスクあり
    Git
    には
    Secret
    はない Password
    変更があると
    CI
    も変更しないといけない

    View Slide

  26. 3. SEALED SECRECT
    によるCIOPS
    secrets
    write
    Admin
    Dev Dev
    Dev
    Dev
    Dev
    Read

    View Slide

  27. 3. SEALED SECRECT
    によるCIOPS

    View Slide

  28. 3. SEALED SECRECT
    によるCIOPS

    View Slide

  29. 3. SEALED SECRECT
    によるCIOPS
    deploy
    trigger
    push deploy
    trigger
    Encrypt Decrypt
    config password
    password password

    View Slide

  30. SECRETS ON CI
    PROS & CONS
    何かしらの⽅法で
    Sercet
    を共有しないといけない CI
    に漏洩リスクあり
    Git
    に漏洩リスクはなく
    デプロイできる

    View Slide

  31. 3. SEALED SECRECT
    によるCIOPS
    password
    write
    Admin
    Dev Dev
    Dev
    Dev
    Dev
    Read

    View Slide

  32. ANSIBLE VAULT

    View Slide

  33. ANSIBLE VAULT
    シークレットを
    Encrypt
    ・Decrypt
    できるCLI
    ツール

    View Slide

  34. $ cat .env
    DB_USER: root
    DB_PASS: tsuyoi_password_ni_sitene
    DB_NAME: master
    EXTERNAL_ACCESS_TOKEN: gaibu_ni_access_suru_token

    View Slide

  35. Encrypt
    1.
    $ ansible-vault encrypt .env.yml
    => New Vault password: [
    パスワード⼊れる]
    => Confirm Vault password: [
    再度パスワード⼊れる]
    $ANSIBLE_VAULT;1.1;AES256
    62663931376163656235343237376235636664303733643139346565326633336664643938333164
    6635393466386336383133316262343033363838373939380a343339346136353935303938373937
    38386664323865633431313430666532303731346361346331656565643236386435366535346239
    ....

    View Slide

  36. 2. Decrypt
    $ ansible-vault decrypt .env.yml
    => New Vault password: [
    パスワード⼊れる]
    => Confirm Vault password: [
    再度パスワード⼊れる]
    DB_USER: root
    DB_PASS: tsuyoi_password_ni_sitene
    DB_NAME: master
    EXTERNAL_ACCESS_TOKEN: gaibu_ni_access_suru_token

    View Slide

  37. 3. SEALED SECRECT
    によるCIOPS
    Encrypt
    password
    $ ansible-vault encrypt .env.yml

    View Slide

  38. 3. SEALED SECRECT
    によるCIOPS
    push
    Encrypt
    password

    View Slide

  39. 3. SEALED SECRECT
    によるCIOPS
    trigger
    push trigger
    Encrypt Decrypt
    config password
    password password
    $ ansible-vault decrypt .env.yml

    View Slide

  40. 3. SEALED SECRECT
    によるCIOPS
    deploy
    trigger
    push deploy
    trigger
    Encrypt Decrypt
    config password
    password password

    View Slide

  41. $ ssh -p 64535 100.xxx.yyy.zzz <=
    ノードに⼊る
    $ printenv
    DB_NAME=master
    DB_PASSWORD=tsuyoi_password_ni_sitene
    DB_USER=root
    EXTERNAL_ACCESS_TOKEN=gaibu_ni_access_suru_token

    View Slide

  42. 4. DECRYPT IN APPLICATION

    View Slide

  43. 4. DECRYPT IN APPLICATION
    deploy
    trigger
    push deploy
    trigger
    IAM
    secrets IAM
    secrets secrets IAM secrets
    Authn/z keys

    View Slide

  44. 3. SEALED SECRECT
    によるCIOPS
    deploy
    trigger
    push deploy
    trigger
    IAM
    secrets IAM
    secrets secrets IAM secrets
    Authn/z keys
    Deploy KMS

    View Slide

  45. $ cat .env.dev.yml
    $ ansible-vault encrypt .env.dev.yml --out .env.dev.yml.enc
    . --vault-password-file=<(echo "password")

    View Slide

  46. $ STAGE="prod"
    $ ansible-vault encrypt .env.$STAGE.yml --out .env.$STAGE.yml.enc -
    -vault-password-file=<(echo $PASSWORD)

    View Slide

  47. HASHICORP VAULT
    Secret
    を管理するためのソフ
    トウェア。最近、
    Kubernetes
    と合わせて使わ
    れるケースが多い。
    GOOGLE BERGLAS
    Google Cloud Storage

    Cloud KMS
    での
    SealedSecret
    BITNAME SEALED
    SECRETS
    Kubernetes
    上でDecrypt

    きるSealedSecret
    を実現する
    コントローラー
    Compare

    View Slide

  48. 場所に応じた最⼩限の権限をつけよう
    どこになんの権限が必要であるかを考えて権限付与
    万が⼀のケースを考えよう
    例: VM
    に⼊られるとprintenv
    などを使って簡単にパスワー
    ドを取れる
    CLI
    ツールとしてAnsible Vault
    は便利
    CI
    とローカルでEncrypt
    ・Decrypt
    するには使い勝⼿がいい
    TAKEAWAY
    FOR CIOPS

    View Slide

  49. THANK YOU

    View Slide