Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

Recommandation

1Password

Vous le verrez pas la suite, nous faisons régulièrement appel à 1Password.

Lors des précédentes expériences avec le CLI et l’opérateur, l’approche était d’utiliser les UID des coffres et des objets.

C’est une bonne pratique dans le sens où ces UID ne changent pas.

En revanche, ça devient compliqué lorsque l’on utilise plusieurs coffres et que nous cherchons plusieurs objets, pour des dizaines de services et d’environnements.

Avant

{{op://b359a4160b93b562f5e356988/b7b3741739d732b5ed371d5b3/SECRET}}
{{op://b359a4160b93b562f5e356988/f3c1b48438b2489fb89fcae30/SECRET}}
{{op://071f644d5b1b58014541b8d98/61b24431093fe1d8519ceaaf9/SECRET}}

ou encore, pour les objets OnePasswordItem Kubernetes:

vaults/b359a4160b93b562f5e356988/items/b7b3741739d732b5ed371d5b3
vaults/b359a4160b93b562f5e356988/items/f3c1b48438b2489fb89fcae30
vaults/071f644d5b1b58014541b8d98/items/61b24431093fe1d8519ceaaf9

Après

Pour redonner un peu de lisibilité, une règle de nommage est appliquée sous la forme suivante:

  • le nom du coffre et des objets est en minuscule, sans espaces, underscore autorisé
  • les objets suivent les règles de nommage suivantes:
    • context_service_target
    • context_service
  • le context peut avoir les valeurs:
    • iac: objet utilisée uniquement par graine-cluster
    • gitops: objet utilisée uniquement par graine-gitops
    • shared: objet pouvant être utilisée par de multiple sources (dev, gitops, iac)

Ainsi, nous obtenons:

{{op://graine/iac_csi_volumes_passphrase/VOLUMES_PASSPHRASE}}
{{op://graine/iac_forgejo_smtp/SMTP_ADDRESS}}
{{op://graine/iac_forgejo_smtp/SMTP_PORT}}
{{op://graine/iac_hetzner_token/HETZNER_TOKEN}}
{{op://graine/iac_lets_encrypt/EMAIL}}
{{op://graine/iac_op_connect/OP_CONNET_TOKEN}}
{{op://graine/shared_forge_registry/ACCESS_KEY}}
{{op://graine/shared_forge_registry/EMAIL}}
{{op://graine/shared_service_token/TOKEN}}

vaults/graine/items/gitops_harbor_cache
vaults/graine/items/gitops_harbor_database
vaults/graine/items/shared_forge_registry
vaults/graine/items/shared_service_token

Note

ces règles peuvent encore évoluées !