Блог

Главная - Вопросы по программированию - Контроллер Terraform

Контроллер Terraform

#amazon-ec2 #ssh #ansible #terraform

Вопрос:

У меня есть куча серверов, не подготовленных с помощью IaC, доступ к которым осуществляется по SSH с моего локального компьютера. Я получаю доступ к этим серверам с 2-3 локальных компьютеров и создаю разные закрытые ключи для каждой локальной машины.

У меня есть куча другой информации для обеспечения, и я рассматривал возможность создания облачного сервера подготовки, чтобы местным жителям не требовались Terravision и Ansible за пределами начальной загрузки, но быстро понял, что это будет означать наличие личных ключей на сервере, на котором, скорее всего, будут другие пользователи с доступом sudo. Похоже, что лучший подход-продолжать, как я, со всеми локальными закрытыми ключами.

В итоге у меня будет куча серверов и еще больше пар ключей. Также вероятно, что у меня будут другие, нуждающиеся в доступе к серверу.

  1. Является ли подход, который я использую для подготовки с локальных компьютеров, лучшим подходом или есть альтернативы?
  2. Как люди управляют ключами в масштабе — я следую принципу набора для каждой точки доступа, чтобы этим доступом можно было управлять, не влияя на другие точки доступа. Моя ~/.ssh/конфигурация становится большой, и мне кажется, что я должен генерировать ее из источника доступа к истине, тем более что доступ будет разным для разных людей. Что делают другие в этом сценарии?

Ответ №1:

Взгляните на хранилище Hashicorp. Ваша дилемма-одна из причин, по которой было создано хранилище Hashicorp.

Я могу заверить вас, что вы не будете погружаться в небрежное использование хранилища. Убедитесь, что у вас есть четкое представление о развертывании и управлении хранилищем Hashicorp.

Я был частью команды разработчиков/разработчиков, которая использовала vault во многих средах и регионах, в средах разработки, контроля качества, тестирования и производства. Лично мне это не удалось, поэтому я не могу помочь с какими-либо рекомендациями по использованию хранилища.

Взгляните на Vault Agent с AWS, чтобы получить представление о хранилище.

Я рекомендую использовать его только в тестовой среде, пока вы не будете абсолютно уверены, что знаете процесс управления хранилищем.

О, еще одна ссылка, Шифрование содержимого с помощью Ansible Vault

Метки: