Archi & techno

Intégrer HashiCorp Vault aux services AWS

Après avoir jeté la PKI Vault sur le grill, nous regardons ici comment Vault peut s'intégrer dans l'environnement AWS. Notre cas d'usage d'origine était basé sur Puppet et sur le déploiement des certificats par ses agents. J'ai choisi ici de refaire la démo de zéro en utilisant Terraform et Ansible pour des raisons pratiques. À cette différence près, il s'agit de la suite directe du premier article et je vous invite à le lire pour suivre celui-ci. L'intégration de Vault aux services d'AWS peut se…

Lire la suite
Archi & techno

Elle est où ton appli ? Dans mon Kube ! – Compte-rendu du talk de Lucas BOISSERIE et Benjamin BRABANT à La Duck Conf 2020

Lucas et Benjamin nous partagent leurs bonnes pratiques, avec pour toile de fond un retour d’expérience d’un peu plus de deux ans avec Kubernetes dans le retail. A quoi ça sert Kubernetes ?  La principale réponse qu’apporte Kubernetes dans le monde de l’infrastructure et de la conteneurisation c’est de l’orchestration avancée de conteneurs sur un parc de machines, managées comme un ensemble cohérent que l’on appelle aussi “cluster”. Toujours dans une logique de “Desired State Configuration”, Kubernetes apporte une grande abstraction sur la technique à…

Lire la suite
Infrastructure et opérations

CR KubeCon EU 2019

Cette année la KubeCon Europe avait lieu à Barcelone !En cette occasion OCTO a envoyé deux mercenaires pour aller prendre quelques informations fraîches sur l'écosystème Cloud Native ! Cette année encore il y avait trop de talks pour que l’on puisse tout voir, il a donc fallu faire des choix. Cet article (bien que très en retard) recense ce qui nous aura le plus marqué. Du côté de la CNCF Dès le premier jour nous avons été mis dans le bain avec une première keynote…

Lire la suite
Brèves de consultants

Déployer ses application dans Kubernetes avec des secrets Vault

Dans cet article, nous allons tenter d’alimenter une discussion que nous entendons régulièrement et qui commence comme ceci : « Et du coup, on peut baser les secrets Kubernetes sur du Hashicorp Vault ? Heu, non, pas vraiment, soit on utilise les secrets Kubernetes pour mettre ses données sensibles, soit on s’appuie sur Vault pour ça. Ah, d’accord, du coup, si je veux mettre mes données sensibles dans Vault, je ne dois plus utiliser les secrets Kubernetes ? C’est ça, il y a clairement double-emploi.…

Lire la suite
Infrastructure et opérations

L’inversion du modèle de connexion d’Ansible avec Ansible-pull : killer feature ?

 Il n’est plus utile de le présenter, Ansible s’est imposé comme un des outils standards pour gérer le déploiement d'infrastructures. Le modèle de connexion qu’il utilise (push), et son opposé (le pull) a suscité beaucoup de débats sur les avantages et inconvénients car c’est un élément clivant dans le choix d’un outil d’Infrastructure as Code. Nous allons parler aujourd’hui d’une fonctionnalité d’Ansible relativement peu connue même si elle existe depuis longtemps. Cette fonctionnalité, nous allons le voir, propose de passer en modèle pull sur…

Lire la suite
devops

Que se cache-t-il derrière la bêta de Vault sur HashiCorp Cloud Platform ?

Hashicorp a annoncé en Juin dernier le lancement de sa plateforme Hashicorp Cloud Platform. Ces derniers jours, ils ont annoncé que Vault serait disponible sur cette plateforme. Encore en bêta, il manque de nombreuses fonctionnalités d'automatisation pour approcher d’une solution viable en production : impossible de piloter les snapshots par API, d’accéder aux logs sans passer par l’interface, pas encore de réplication... Mais les principes de base sont là et sont très facilement accessibles ! C’est donc, à date, une très bonne idée pour se…

Lire la suite
Archi & techno

Gardez les clés de votre infrastructure à l’abri avec Vault

Nous avons déjà présenté sur ce blog l’outil Vault de Hashicorp, son fonctionnement en mode PKI, son intégration avec AWS ou avec Kubernetes. Cette fois-ci nous allons nous intéresser à une autre fonction de Vault : Le contrôle des accès SSH aux serveurs de votre infrastructure. Cette fonctionnalité, et toutes ses déclinaisons, est fournie par le Secret Engine SSH.

Lire la suite
Archi & techno

La PKI Vault sur le grill

Vault (par HashiCorp) est un coffre fort permettant de stocker divers secrets, de les restituer, voire de les générer. Plus concrètement, il peut fournir à des utilisateurs ou à des services tout un tas de secrets - généralement temporaires - comme des certificats, des tokens, des couples login/mot de passe générés dans une instance PostgreSQL ou MongoDB et bien d'autres ... et le tout par le CLI fourni ou par son API HTTP. HashiCorp propose deux versions de l'application, une OpenSource et une payante - Vault…

Lire la suite
Archi & techno

Stratégie de placement de conteneurs Docker (partie 2)

Second volet de notre étude sur les orchestrateurs de nœuds Docker, après l’étude des placements des conteneurs sur les nœuds, abordons désormais les possibilités d’anti-affinité offertes par nos chers candidats Fleet, Nomad, Swarm et Kubernetes. Profitons également de l'occasion pour nous offrir une petite mise à jour des versions de nos belligérants. Le changement majeur est du côté de Docker Inc. puisque désormais Swarm est directement embarqué dans le moteur de conteneurs depuis la version 1.12.

Lire la suite