Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

1Password

Ce service est utilisé pour:

  • stocker des secrets
  • alimenter les données sensibles IaC
  • alimenter les objets Secrets du cluster via l’opérateur 1Password Connect

Le coût pour un compte individuel est de 38,16€ TTC par an.

Choix

1Password est retenu comme gestionnaire de secrets pour les raisons suivantes:

Les +

  • expérience globale:
    • génération de mot de passe / passphrase complexe
    • ACL sur les coffres
    • le CLI est utile sur plusieurs niveaux (local et CI/CD par exemple)
    • le coût annuel du premier forfait est bien plus raisonnable comparé à d’autres solutions
  • expérience personnelle
    • gestion des MFA
    • intégration avec le navigateur
  • expérience professionelle
    • facilite l’expérience local
    • possibilité de n’avoir aucuns secrets stockés en local (dans un dotenv par exemple)
    • intégration kubernetes simple et performante

Les -

  • pas de relation entre les objets
    • on peut les référencer mais l’injection ne prend pas encore en charge les références
  • la recherche n’est pas précise
    • si vous cherchez un secret par un mot ou un ensemble de mots stricts, il n’est pas certain que vous trouviez une correspondance
    • il est donc nécessaire d’utiliser toutes les fonctions d’un objet, comme les tags, et d’établir règle de nommage précise pour retrouver un secret

Autres solutions testées

Les deux premières solutions ici sont différentes dans le sens où nous avons déployé les solutions afin de les tester, contrairement à 1Password où nous n’utilisations que l’opérateur. De plus, la question se pose d’utiliser ces solutions sur le même cluster où les secrets seront injectés…

Vault = non !

OpenBao = non plus !

  • OpenBao
  • Bao est un fork de Vault, faisant suite au rachat d’HashiCorp par IBM et la modification des licences. Il n’y a que peu de différence avec Vault, même dans sa version 2.0.

Pulumi ESC = presque oui !

  • Pulumi ESC
  • les solutions Pulumi sont plutôt intéressantes et stables
  • l’intégration avec Kubernetes est simple et l’injection des secrets l’est tout autant
  • son utilisation sur un compte gratuit est possible avec quelques limites toutefois difficile à identifier dans l’immédiat puisque la documentation est pauvre sur les différences avec le premier forfait payant (40$/mo !)