Eviter que le chat botté ne vole vos secrets

Transcript

1. — Éviter que le chat botté ne vole vos secrets

   12 Septembre 2024

2. — Sommaire Mon GitOps 01 Éviter que le chat botté

   ne vole vos secrets 00 02 Il était une fois… 03 ArgoCD & Vault 04 La morale

3. — he / him @sphinxgaiaone Cloud Builder chez WeScale Jérôme

   Masson

4. DEPUIS 2015 70 PASSIONNÉ(E)S PARIS NANTES + DE 50 CLIENTS

   + DE 10M DE CA

5. — Raison d’être et valeurs 01 Réussir aux côtés de

   nos clients la dimension technologique de leur transformation et les rendre autonomes : ➔ Effectuer les bons choix technologiques. ➔ Adapter l’organisation du delivery. ➔ Guider, co-réaliser et former les équipes en place. Nos valeurs ➔ Expertise ➔ Passion ➔ Transparence À propos de WeScale ➔ Amélioration continue ➔ Partage

6. Storyteller Phippy & friends (CNCF) Captain Kube Goldie Main Characters:

   Jeune Maître & Chat botté Phippy & friends (CNCF)

7. as King K8S & K8S Expert: ArgoCD CNCF project (CNCF)

   King

8. Mon GitOps 01

9. — GitOps vs GitOps Éviter que le chat botté ne

   vole vos secrets 01 GitOps - Beaucoup de définitions plus ou moins proches Quelques consensus - 1 source de vérité avec Git - 1 outil applique la source de vérité - Objectifs: livrer plus rapidement en réduisant les goulots d’étranglement

10. — Infrastructure & Environnement Éviter que le chat botté ne

    vole vos secrets 01 Infrastructure - Un / plusieurs cluster Kubernetes Apps - Installation avec Helm - Configuration & mise en place des tests - App Go - basée sur podtato-head : - manifest.yaml / server.go

11. Il était une fois 02 Éviter que le chat botté

    ne vole vos secrets

12. — Il était une fois 01 dans un pays lointain…

    Vit le dernier fils d’un dev spécialisé dans les systèmes UNIX. Il avait un chat pour seul compagnon, il voulait se déployer dans le cluster du King K8S mais ne savait pas par où démarrer, Le chat lui dit alors, “donne moi des bottes et un chapeau et je t’amènerais à ton cluster Kubernetes”

13. — Il était une fois 01 dans un pays lointain…

    Le King K8S ouvrit ses portes !!! Le chat botté s’en alla quérir une “Application” si le King K8S voulait bien la déployer ? Tenez voici mon YAML de mon maître le spécialiste le marquis de YAMLs, cela vous intéresse-t-il ?

14. — Il était une fois 01 dans un pays lointain…

    Un peu plus tard, dans ses débuts sur le cluster, le chat botté vit une intégration vault du King K8S, il dit alors à son maître: “Aller sur le git et mettez à jour votre configuration et vos secrets …” Le King K8S, qui passait par là, vit la configuration du jeune maître et tenta de la déployer…

15. — Il était une fois 01 la rencontre… Le chat

    se mit en route vers un expert du royaume. Il paraît que vous pouvez aborder n’importe quel bug de déploiement. Il lui demande alors: Je ne comprends pas pourquoi mon Application ne trouve pas le chemin de l’intégration Vault ? L’expert lui répondit, il te manque une annotation dans ta définition !

16. — Il était une fois 01 la rencontre… Maintenant qu’il

    avait - l’accès au cluster, - son dépôt git - et ses paramètres pour accéder aux secrets, Le chat modifie l’Application permettant à son jeune maître de se déployer dans le cluster du King K8S mais aussi de voler les secrets.

17. — Il était une fois 01 la rencontre… Le King

    CFP lui répondu rapidement : “Via dans mon cluster, je vais te donner les accès à mon plugin Vault” Kubernetes

18. Le chasseur arrive 02 mais le chat botté était déjà

    loin

19. Kubernetes patterns 03 ArgoCD & Vault

20. — GitOps vs GitOps Éviter que le chat botté ne

    vole vos secrets 03 GitOps - Beaucoup de définitions plus ou moins proches Quelques consensus - 1 source de vérité avec Git - 1 outil applique la source de vérité - Objectifs: livrer plus rapidement en réduisant les goulots d’étranglement

21. — ArgoCD Éviter que le chat botté ne vole vos

    secrets 03 GitOps - Simplification de l’adoption du GitOps - Une IHM - Gestion des droits fin - Compatible HELM, RAW Yamls, kustomize, … Fonctionnalités avancées - Extensible via plugin - Installation dans un namespace pour limitation

22. — 03 Intégration ArgoCd & Vault Éviter que le chat

    botté ne vole vos secrets ArgoCD Vault plugin - intégration dans ArgoCD via un container de plugin - configuration limitée pour les applications via secret natif kubernetes - informations limitées dans git Vault CSI driver - configuration limitée pour les applications - informations limitées dans git / pas de dépendances à ArgoCD - connexion native kube & vault - droit / serviceaccount Vault Agent - Même fonctionnalité que le CSI - Simplification de la rotation des secrets

23. — 03Éviter que le chat botté ne vole vos secrets

    Architecture multi-zone

24. — 03 ArgoCD zone a Éviter que le chat botté

    ne vole vos secrets

25. La morale 04

26. — La morale Il a le “bOn dEvOpS” et il

    y a le “bon DevOps” 04 adopter une approche least privilèges être le plus proche des standards Kubernetes vs custom GitOps vs Architecture Network Security / Access / Encryption Cloud Auth / Standard / Network policies Cluster Scan / Least Privileges / Signing / Runtime Container Scan / Full TLS / Least Privilege Code

27. problèmes ?

28. None

29. Merci de votre attention.